就全球足跡而言，很少有網絡犯罪領域能與網絡釣魚相提并論。FBI表示，2020 年向其互聯網犯罪投訴中心 (IC3) 提交的受害者報告數量最多。組織因商業電子郵件泄露（一種特殊的網絡釣魚形式）而蒙受的經濟損失高達去年減少了 18 億美元。根據Verizon 的報告，2021 年記錄的數據泄露中有 36% 涉及網絡釣魚。

是什么讓這種犯規行為如此有利可圖？這歸結為人為因素，這是一般企業數字化態勢中最薄弱的環節。網絡騙子最常利用的不是軟件或硬件漏洞。是用戶，他們有痛點、易受騙和缺乏安全意識。

值得慶幸的是，電子郵件過濾器在識別和阻止試圖欺騙收件人點擊傳染性鏈接、下載惡意附件或泄露敏感信息的郵件方面越來越有效。在這種情況下，網絡釣魚者正在策劃新的技巧來繞過這些障礙。

• 模仿世界著名金融組織的電子郵件
• 偽裝的惡意 ZIP 文件
• 使用外語混淆保護工具
• 逆向 HTML 代碼
• 將被黑的 SharePoint 帳戶武器化
• 您是否足夠警惕以抵御網絡釣魚攻擊？

模仿世界著名金融組織的電子郵件

在2020 年夏季爆發的一場運動中，一個網絡犯罪團伙以假冒花旗集團或美國銀行等主要銀行的欺騙性信息為目標的公司。這些電子郵件指示收件人在偽裝成他們正在使用其服務的金融機構的官方網站的頁面上更新他們的個人信息。為了看起來合法，欺詐涉及一個間隙網頁，要求用戶指定他們的安全挑戰問題。

許多網絡釣魚保護工具允許這些電子郵件到達目標，盡管它們來自@yahoo.com 而不是銀行的實際域，這是應該立即發出危險信號的事情。為何如此？

首先，這個騙局只針對一家公司的少數員工。由于傳統的電子郵件過濾器正在尋找許多具有可疑內容的相同或相似郵件，因此有幾封郵件很可能未被發現。

事實上，這些電子郵件是從個人雅虎帳戶發送的，這也給工作帶來了麻煩。這是因為基于域的消息身份驗證、報告和一致性 (DMARC) 和發件人策略框架 (SPF) 等經典驗證機制無法識別域欺騙企圖。

最后，該銀行的山寨網站在騙局開始前不久就已經注冊，因此還沒有被列入黑名單。它還使用了有效的 TLS 證書。這些簡單的技術，加上郵件正文中的一些壓力，讓網絡釣魚浪潮得以傳播，并欺騙一些收件人交出他們的機密數據。

偽裝的惡意 ZIP 文件

如果熟悉 ZIP 格式原理，您可能知道 End of Central Directory (EOCD)。它表示檔案結構的最后一個元素。在理想情況下，這些壓縮文件包包含單個 EOCD 值。然而，惡意行為者已經學會了使用兩個平行結構創建檔案，其中一個隱藏在眾目睽睽之下。

安全電子郵件網關 (SEG) 具有解壓縮功能，可在用戶打開之前檢查所有 ZIP 文件。然而，在雙 EOCD 場景中，唯一可供檢查的部分是無害的“紅鯡魚”結構，它以優異的成績通過了所有檢查。同時，混淆層次結構在幕后加載，在收件人的計算機上執行遠程訪問工具 (RAT)。

使用外語混淆保護工具

大多數反網絡釣魚系統都配置為識別英語或客戶公司語言的網絡釣魚模板以進行業務通信。為了避開這個障礙，一些騙子用俄語發送電子郵件，并包含一個鼓勵潛在受害者使用在線翻譯服務的短語。因此，這些消息可以毫無阻礙地到達收件箱，過度好奇的用戶可能會在閱讀翻譯后的文本后上鉤。

逆向 HTML 代碼

此類網絡犯罪的另一個策略涉及更改消息源代碼中的文本方向。這樣，電子郵件過濾器就會忽略它，因為它的結構不會與已知的網絡釣魚樣本重疊。當收到這樣的電子郵件時，它會正確地呈現給用戶。

為達到這一目的，黑帽黑客通常會錯誤處理層疊樣式表 (CSS)，這是一種指定 HTML 元素應如何在屏幕上呈現的編程工具。它允許將拉丁文和阿拉伯文文本合并到同一封電子郵件的代碼中，并可以互換使用這兩種格式。這些腳本以相反的方向流動的事實使得更容易實現背信棄義的逆轉。

將被黑的 SharePoint 帳戶武器化

檢查可疑鏈接的消息是 SEG 保護邏輯不可分割的組成部分，作惡者知道這一點。為了避開這種機制，他們可能會嵌入合法云服務的 URL。例如，網絡釣魚者經常利用他們未經授權訪問的 SharePoint 網站。電子郵件過濾器信任托管在 Microsoft 協作平臺上的資源，因此此類郵件可以順利到達受害者的收件箱。

如果用戶通過單擊據稱指向重要工作文檔的鏈接上當受騙，他們將看到一個內容難以理解的惡意 OneNote 文件。為了閱讀它，該人被指示點擊另一個超鏈接，在幾次網絡重定向后，該鏈接將他帶到一個偽裝成 OneDrive for Business 登錄門戶的憑據釣魚頁面。可以預見的是，在那里輸入的身份驗證詳細信息最終會落入犯罪分子之手。

您是否足夠警惕以抵御網絡釣魚攻擊？

使用反網絡釣魚工具是成功的一半。這些解決方案會篩選所有傳入的電子郵件，并自動阻止大多數社交工程嘗試。問題在于威脅行為者不斷想出新方法來欺騙這些防御措施。因此，大量的保護取決于您。以下建議將幫助您避免危險：

• 不要點擊電子郵件中嵌入的鏈接，即使它們看起來值得信賴。
• 不要加載陌生人發送的電子郵件附件。
• 在登錄表單中輸入您的用戶名和密碼之前，請確定該頁面使用加密連接 (HTTPS)。
• 如果一封電子郵件冒充受信任的組織并要求您提供個人信息，請檢查是否有拼寫錯誤和其他錯誤——這些都是騙局的明顯跡象。
• 忽略告訴您緊急做某事的消息。
• 收到同事的電匯請求后，請務必加倍確保其合法性。給對方打電話或當面討論這件事并沒有什么壞處。
• 不要在社交網絡上發布過多的個人數據，因為它可以用來建立您的個人資料并策劃高效的有針對性的網絡釣魚攻擊。
• 啟用防火墻并使用具有網絡釣魚防護功能的安全應用程序。

回顧一下，電子郵件過濾器不能完全保護您和您的組織免受網絡釣魚的危害。其中一些消息無疑會繞過這一層保護，結果就取決于您的安全意識了。來自信譽良好的網絡主機的電子郵件托管可以幫助您降低網絡釣魚防護等服務的網絡釣魚風險。要成為一個移動的目標，請使用上述提示，并且永遠不要停止磨練您識別此類欺詐的能力。