网络钓鱼

“网络钓鱼”一词对于广大信息安全工作者来说都不会太陌生。最常见的网络钓鱼攻击方式就是将受害人引诱到一个通过精心设计与目标组织的网站非常相似的钓鱼网站上，并获取受害人在此网站上输入的个人敏感信息，通常这个攻击过程不会让受害人警觉。网络钓鱼是基于社会工程学的一种攻击方式。

网络钓鱼是诱骗用户交出登录信息的骗术，虽然这种攻击方式已经众人皆知，但这并没有阻止它成为攻击者的最爱。通常人们主要将网络钓鱼与伪造的电子邮件联系在一起，但攻击者也会利用其它各种各样的攻击媒介来欺骗受害人。

Atif Mushtaq，国外网络安全公司SlashNext的创始人兼CEO，说：“越来越多的员工在浏览器中直接受到针对性的网络钓鱼攻击，这些攻击具有高度合法性的网站、广告、搜索结果、弹出窗口、社交媒体帖子、聊天应用程序、即时消息以及恶意浏览器扩展和免费的网络应用程序。大多数IT管理者也没有意识到网络钓鱼威胁移动的速度有多快，通常只持续几分钟到几小时，然后其钓鱼网站关闭，网络犯罪分子可以继续逃避现有的安全控制。”

网络钓鱼经久不衰是因为其拥有成本低、易传播、受众群体广、利润空间大等特点。攻击者能够持续不断的从网络钓鱼中获得巨大利益。2017年连续发生多起影响重大的恶性网络钓鱼事件，受影响群体甚至涉及到了政府和大型组织。2017年7月，美十余家能源设施遭受了钓鱼邮件攻击事件，攻击者发送主题为“环境报告”、“求职简历”等钓鱼邮件，诱骗用户填写电脑登录的用户名、密码等私密信息。

2017年10月，Necurs僵尸网络被捕获到大量发送恶意邮件，并利用附件来传播LOCKY系列勒索病毒，受害人被要求支付指定数量的比特币货币进行解密。2017年12月，多起网络钓鱼安全事件集中爆发。“商贸信”病毒在全球外贸行业内大量传播，黑客通过发送以“订单”、“采购清单”等为主题的钓鱼邮件诱导受害者下载远程遥控木马。

随后，来自伊朗的APT组织——“人面马”被抓捕到多起利用钓鱼邮件发起的攻击，影响范围涉及政府、金融、能源、电信等多个行业。不难看出，从2017年开始，针对特定人群和企业的攻击是网络钓鱼攻击的一个重点攻击对象，且使用社会工程学针对企业的APT攻击已经开始了大面积爆发式的增长。

社会工程学

社会工程学是黑客米特尼克悔改后在《欺骗的艺术》中所提出的，是一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害等行为。对社会工程学的研究是一种非传统信息安全的行为。

在信息安全这个链条中，人的因素是最薄弱的一道环节。社会工程就是利用人的薄弱点，通过欺骗手段而入侵计算机系统的一种攻击方法。企业可能采取了很周全的技术安全控制措施，例如：身份识别系统、防火墙、入侵检测、加密系统等，这些都属于传统的信息安全范畴。但由于企业员工无意当中通过电话或电子邮件泄露机密信息(如登录密码、IP地址、网络拓扑)，或被非法人员欺骗而下载了含有木马的文件，就可能对企业的信息安全造成严重损害。

社会工程学通常以交谈、欺骗、假冒或口语等方式，从合法用户中套取用户系统的信息。熟练掌握社会工程学的攻击者，能够从任何看似无关紧要的信息进行对企业渗透。比如说一个电话号码，一个人的名字，或者工作的ID号码，都可能会被攻击者所利用。此外，由于机器学习和人工智能技术的发展，社会工程学犯罪将会变得越来越有成效，且难以防范。

案例

2013年，安全公司Trustwave的SpiderLabs实验室做了一系列社会工程学的实验，使用了社工种经典的手法，证明这些手法仍然非常有效，利用人的好奇心获得了需要的信息。

以下是详细过程：

首先SpiderLabs收集了目标公司员工名单信息，包含姓名、住址等，然后决定使用让用户更新自己的杀毒软件的方法进行攻击。SpiderLabs提供了一个社工中攻击的经典模板，并与U盘或CD光盘一起寄送给目标用户，模板内容如下：

“亲爱的员工XX（直呼其名）:

在公司最近的一次安全风险评估中，我们在您的电脑上发现杀毒软件已经过期了。对公司造成了一定的潜在风险，通过网络我们查到了您的住址（真实住址），我们需要您合作，一起降低该风险。

您收到的这个U盘中包含了杀毒软件更新程序，请将U盘连接到您的计算机，并按照下面的说明来安装更新：

1：双击图标“我的电脑”。

2：双击可移动磁图标上对应的U盘驱动器。

3：双击“防病毒更新”程序。

如果更新程序执行成功，你会看到以下信息：“杀毒软件更新成功”，一旦您执行这些步骤，能将您的杀毒软件更新到最新版本，并能保护您的计算机免受病毒威胁。

我们非常感谢您对（公司名称）的帮助。”

在此类攻击中，SpiderLabs表示通常使用U盘，这些“防病毒更新”程序都是特殊定制的木马软件。在本次实验中总共寄出去15个包，其中1个用户中招。

在另外一个实验中，SpiderLabs在目标公司的停车场扔了两个U盘，在大楼前的人行道上又扔了一个U盘。几天后，该公司的某管理人员就在计算机上插入了该U盘，通过用户名得知该用户为公司门卫，虽然他没有权限接入到该公司的核心系统，但是SpiderLabs依然可以通过该计算机来控制一些出入口、摄像头等，从而进行更加深入的渗透。

网络黑色产业链

但是社会工程学远不如单纯的信息收集那么简单，社会工程学信息攻击已然促进了一个庞大的网络黑色产业链。

所谓的网络黑色产业链，是指以计算机网络为工具，运用计算机和网络技术实施的以盈利为目的，有组织、分工明确的团伙式犯罪行为。它可被细分为以职业黑客为主的产业链的上游，以职业中介为主的中游，由取钱、洗钱、收卡、贩卖证件等团伙组成的下游。而这个产业链正是围绕“社会工程学数据库（社工库）”运作的。

社工库是黑客在运用社会工程学进行攻击的时候，积累的各方面数据的结构化数据库。社工库记录了黑客攻击手段和攻击方法，这个数据库里的信息包罗万象，如网民在各类网站上的登录账号、登录密码、分享的照片、社交软件的聊天记录、信用卡刷卡记录、机票车票订购记录、通话记录、短信和微信内容等。互联网上存在着大量此类可以查询社工库、买卖数据、交流犯罪方法的论坛和网站。

国外互联网安全平台FireEye在其预测报告中说：“在2019年，我们预测能看到专业技能较低的不法分子能够获得更好的社会工程资源，更好的攻击工具和更广泛的目标。”通过社会工程资源共享，每天都有越来越多的由试图破坏其他组织的黑客或由安全研究人员发布的黑客工具可供使用，这些工具都可以用来作为渗透测试工具。

据统计，在2018年已有大量的社会工程工具被无限制的使用。在过去两年中，甚至连部分国家和民间组织也开始转向使用开源的黑客工具。而在2019年，专家们预计低技术的黑客和高级国家黑客都会使用相同的高级黑客工具，这使得想查明攻击归属源变成了几乎不可能的任务。

御盾观点

随着社会工程攻击已逐渐将重心从普通人转移到企业，企业的防范措施应该有哪些？首先，企业应加强内部管理，严格执行保密管理、敏感信息保护办法，避免信息泄露；其次，应注意培养企业员工自身的自我保护意识，并指导员工增强安全防范意识；在应用层面加强对用户身份识别、认证的能力，部署相应的身份识别产品；最后，建议企业与第三方安全咨询公司合作，建立完善的安全托管平台MMS，提高防范社会工程攻击的能力。