作为一种古老的网络攻击手段，钓鱼邮件是企业和个人最常遇见的网络威胁之一。和零日漏洞、APT攻击等高危险的攻击方法相比，钓鱼邮件就显得非常“老套”。

但是，“老套”并不意味着无效。相反，随着网络空间的不断发展、壮大，这种“老套的”攻击手段给每年都给企业带来了难以言表的巨额损失。

2021年Q2 Coremail邮件安全报告的数据显示，和2021年Q1相比，Q2邮件安全问题依旧层出不穷，钓鱼邮件季环比增长21.27%，同比增长甚至呈现翻倍上升趋势。

另一份报告指出，美国大型企业平均每年因与网络钓鱼相关的网络犯罪而损失1480万美元，远高于2015年的380万美元，过去六年来，美国大型企业的网络钓鱼平均成本飙升了289%，年均损失近1500万美元。

同时，网络钓鱼凭据也是勒索软件和商业电子邮件入侵 (BEC) 的常见起点。该报告称，勒索软件每年给大型企业造成570万美元的损失，而BEC则为600万美元。网络钓鱼造成的损失被比勒索软件和BEC损失的总和还多。

钓鱼邮件之猖獗可见一斑。

用数字符号规避钓鱼检测

面对日益频发的钓鱼邮件攻击，不少企业开始部署各种反钓鱼邮件的工具和解决方案，而攻击者们则是想尽办法来规避这些反钓鱼邮件检测。

据Security affairs消息，近日某钓鱼邮件组织突发奇想，使用数字符号来干扰反钓鱼邮件检测，竟然还取得了不俗的效果。

电子邮件防护产商INKY的安全研究人员详细地介绍了这种“新型”的钓鱼邮件攻击，它的核心是利用各种数字符号替换公司logo或名字中的字母，达到“欺骗”反钓鱼邮件或反垃圾邮件产品的目标。

美国电信巨头Verizon成了这种新型攻击的首个目标，自2021年11日开始，不少用户收到了“修改密码”的钓鱼邮件。不久之后，不少用户的账号被盗，有的甚至还被盗刷了信用卡，丢失了数千美金，但Verizon表示公司系统并为遭到破坏。

安全人员对此次钓鱼邮件攻击事件复盘之后发现，钓鱼邮件并未使用多少新的技术，而是对邮件进行了高超的“伪装”。

一个红色的平方根字符，NOR逻辑操作符或者说是汉字符号中的勾（√），这些简单的数学符号创造了一种逻辑干扰，竟然就这么骗过了反垃圾邮件检测的“眼睛”，于是这些邮件成功发给了用户。

之所以这波操作如此有效，是因为Verizon公司的logo使用的就是一个红色、不对称的“V”，这和平方根符号或者说“勾”相似度非常高，如下图所示。

（不仔细看根本分辨不出来有木有）

因此，很多用户收到了邮件后，完全没有发现这是一封假的邮件。

但该钓鱼邮件的伪装还远不止这些，他们还创建了一个相似度非常高的假Verizon公司的网页。攻击者们在邮件中使用了一个简单的数字字符，用户只要点击之后就会定向链接到这个假网站。

这个假的恶意网站和真网站有多相似呢？根据INKY的安全研究人员的说法，他们几乎是完全克隆了Verizon公司的官网，使用了几乎相同的设计元素。

这就骗过了很多的用户，他们在登录页面填写了自己的Office 365的账号密码进行登录，而这些信息全部都落入到攻击者的手中。

有趣的是，用户在第一次登录的时候会显示“登录错误”，并要求再次输入账号密码，最终显示的页面是“无法登录”。

两次输入就意味着两次信息收集，但INKY安全研究人员也无法理解这波操作的真正原因。他们猜测攻击者是想确认账号密码的真实性，或者是引导用户输入其他的账号密码，这样他们可以收集两套登录凭证，卖两份价钱。

INKY安全研究人员进一步研究发现，钓鱼邮件攻击者是直接使用Gmail账户发送钓鱼信息。之所以如此明目张胆，是因为它们可以通过标准的电子邮件身份验证(SPF、DKIM和DMARC)。而那个等待用户的假的恶意网站中，存在着最新的零日漏洞，足以给用户造成严重损失。

事实上，这已经不是Verizon公司2021年度第一次遭遇钓鱼邮件攻击。

2021年4月，Verizon公司移动端用户遭钓鱼攻击，并欺骗用户窃取电话号码、ID、密码等私人数据信息，并且在2019年2和3月也遭受了两次钓鱼邮件攻击。

频繁出现的钓鱼攻击不仅给用户带来了一定的损失，也给Verizon公司声誉和业务造成了一定的损伤。

另外值得注意的是，前三次钓鱼邮件攻击还略显粗糙，最近一次的钓鱼邮件则出现明显的“定制化”趋势。攻击者用更加巧妙的手段，瞒过了企业反钓鱼邮件的检测，也瞒过了很多粗心的用户。

如何有效预防钓鱼邮件？

众所周知，钓鱼邮件的核心就在于一个“伪”字，而只要是假冒的就一定会存在各种蛛丝马迹，我们可以通过这些蛛丝马迹来分别是不是钓鱼邮件，避免掉入攻击者们的陷进之中。

以下是安全专家们提供的预防钓鱼邮件的建议：

1、对于来自Gmail或其他免费电子邮件提供商（如雅虎、AOL或Hotmail）保持警惕，仔细核对发件人和邮件的真实性。

2、确保在下载任何附件之前进行检查，尤其是未经请求的电子邮件。更好的做法是，仔细检查发件人的电子邮件地址并留意高风险附件文件。不轻易下载附件，也不轻易点击陌生链接。

3、切勿通过电子邮件提供敏感信息，如果一封电子邮件要求收件人提供信用卡详细信息、税号、社会保障信息或任何其他敏感详细信息，那基本是钓鱼邮件。

4、安装反钓鱼邮件工具，目前很多杀毒软件和浏览器都包含了反钓鱼邮件工具，这可以帮我们拦截大多数钓鱼邮件，并且会有相应的提醒。

5、重要文件做好防护，很多时候钓鱼邮件只是勒索攻击的开端，及时对重要邮件备份，防止勒索攻击锁住文件造成巨额损失。

参考来源：https://securityaffairs.co/wordpress/123297/hacking/anti-phishing-technique.html