一个案例

在一家大型跨国公司中， A 是行政部门的一名职员，负责处理公司内部文件和行政事务。他最近参与了公司的一起法律诉讼，涉及公司的商业纠纷。这些细节成为了攻击者 X 钓鱼攻击的目标。

攻击过程

1. 攻击者调查：X 通过社交媒体、网络搜索以及可能的企业泄露等途径，获取了A的个人信息，包括姓名、工作职责和最近参与的法律诉讼。
2. 发现敏感信息：在深入了解 A 的个人信息后， X 发现了他最近参与的法律诉讼，并认识到这是一个潜在的攻击机会。
3. 制作伪装邮件：X 决定制作一封伪装成法院或法官的电子邮件。他使用相似的域名、格式和专业术语，以增加邮件的真实性和可信度。
4. 诱骗员工：伪装成法院或法官的邮件内容声称， A 在前一段时间的法律事务中有遗漏或需要补充的文件，要求他立即点击附件或链接以提供必要的信息。由于公司确实正在参与一起诉讼，而 A 也确实收到过来自法院的邮件。这些因素使他完全没有意识到其中可能存在风险。
5. 恶意附件或链接：邮件中的附件或链接实际上包含恶意软件，一旦 A 点击了附件或链接，恶意软件就会感染他的计算机或系统。
6. 获取访问权限：一旦恶意软件感染了 A 的计算机或系统， X 获得了对公司系统的访问权限。
7. 进一步获取敏感信息：通过感染的计算机或系统， X 进一步获取了 A 的登录凭据、财务数据以及其他公司内部数据。

攻击结果

X 利用所获取的信息进行各种恶意行为，包括盗取公司的机密信息，进行金融欺诈，在公司内部网络上进行横向扩展，进一步渗透公司的敏感区域，造成严重的安全威胁。

案例分析

这是钓鱼攻击的典型过程，攻击者利用社交工程手段和伪装邮件的方式针对特定员工进行攻击。利用员工的个人信息和最近的法律经历，将邮件内容与其正在处理的事件建立了关联。

类似通过建立事件关联进行钓鱼的例子还有：

• 在财税审计期间；
• 在公司组织架构发生重组期间；
• 在公司参与重大招投标期间；

攻击者可能早已通过社交媒体对企业或员工个人进行监控，并进行了一些试探性攻击，来检验公司的警惕性和了解防御系统的漏洞，只是没有发起全面攻击。

一旦攻击者准备就绪并选择了合适的时机，就会集中实施攻击，找到突破点，一举攻破系统。

在遭受攻击的时候，员工往往处于无意识状态。因为他们已经将邮件与事件关联起来，合理化邮件的要求和指令，从而执行恶意程序或代码。

如何防范？

我们经常有一个误区，认为遭到钓鱼攻击是因为我们缺乏防范意识，因此我们希望通过培训来建立这种意识。

然而，实际情况是，攻击者会通过关联事件将他的请求合理化，来抑制我们的防范意识。缺乏防范意识和防范意识被抑制是有明显区别的，防范意识一旦被抑制，如果没有进行过专门的培训，就很难摆脱对方精心构建的“可信“陷阱。

我们需要做的是激发防范意识，而不仅仅是简单地建立防范意识！只有通过激发防范意识，我们才能更好地保护自己和组织免受钓鱼攻击的威胁。

如何激发防范意识？

首先，我们将钓鱼攻击分为两个主要部分：原因和诉求。

原因就是为什么你要提供信息给我？这些经过伪装的原因，多种多样层出不穷，它甚至可能是一个经过长期铺垫和经营一步步将你引入的陷阱。而对于行政、人力、财会等非专业人士，根本无法做到让他们时刻保持警惕。

但是不要灰心，所有的原因最终都会指向具体的诉求，这时，这些精心伪装就会逐渐脱落，露出它本来的面目。

由于技术的限制，攻击者最终只能通过几种特定的方式来实施攻击：

1. 通过执行附件、打开链接或植入程序来进行攻击；
2. 通过伪装地址或表单直接获取敏感信息；
3. 获取权限并访问敏感数据；
4. 并没有第四种方式，99%的钓鱼攻击最终都需要通过以上三种方式实现！

因此，我们可以清楚地认识到，启动防御意识，就能让我们采取相应措施。

• 不管原因多么合理，你只需要关注诉求。

• 只要这些诉求执行的操作符合攻击特征就进行上报。

其实当员工找到并且检查诉求时，他的防范意识就已经被成功激活了。大多数钓鱼攻击在这时就已经无效了。

过去，我们在进行安全培训时，通常只强调建立员工的安全意识，使他们具备辨识能力。

然而，现实中我们必须面对的是，我们的安全雷达并非一直处于工作状态。

恶意攻击者甚至可以通过各种手段使这些雷达处于抑制状态，这给组织的信息安全带来了巨大挑战。

因此，在应对钓鱼攻击时，“激活”员工的安全意识显得尤为重要。只有让员工从无意识状态转变为有意识状态，才能从根本上防止钓鱼攻击。

安全团队应该考虑从这个角度入手，通过激活员工防御意识，阻止钓鱼攻击。也许这正是我们在应对钓鱼攻击时没有作对的事情。