概述(shu)

釣魚攻擊(ji)(ji)(ji)是一(yi)種(zhong)社會工(gong)程學攻擊(ji)(ji)(ji)，即攻擊(ji)(ji)(ji)者通(tong)(tong)過偽裝(zhuang)成可信(xin)實(shi)體的(de)方式(shi)來(lai)欺騙用戶(hu)，以獲(huo)取敏(min)感(gan) 信(xin)息或進行其他惡意行為。通(tong)(tong)常，攻擊(ji)(ji)(ji)者會通(tong)(tong)過電子郵(you)件、短(duan)信(xin)、即時通(tong)(tong)訊工(gong)具等(deng)方式(shi)向受害者發送(song)虛假(jia)信(xin)息，偽裝(zhuang)成信(xin)任的(de)組(zu)織(zhi)或個人，要求受害者提供敏(min)感(gan)信(xin)息，例如登錄憑據、銀行賬戶(hu)信(xin)息、身(shen)份證號碼等(deng)。

釣(diao)魚(yu)攻擊(ji)過程(cheng)中通(tong)(tong)常會(hui)使用的社會(hui)工程(cheng)學技巧眾多(duo)，例(li)如誘騙(pian)、威脅、欺騙(pian)等(deng)手段來引(yin)導(dao)受害者操(cao)作(zuo)。攻擊(ji)者通(tong)(tong)常會(hui)利(li)用人們的好奇心、恐懼心理、貪婪(lan)心理、信(xin)任感等(deng)心理因素，從而(er)讓受害者陷(xian)入陷(xian)阱。另(ling)外，還(huan)可以利(li)用漏洞(dong)或技術(shu)手段來進一步加(jia)強攻擊(ji)效果，例(li)如偽(wei)造網站、安(an)裝惡意(yi)軟件、利(li)用網絡(luo)釣(diao)魚(yu)、欺騙(pian)受害者轉(zhuan)賬等(deng)。

對(dui)于(yu)(yu)企業(ye)信(xin)息安(an)(an)全(quan)(quan)建設(she)而言，加強(qiang)員工安(an)(an)全(quan)(quan)意(yi)識(shi)(shi)(shi)是安(an)(an)全(quan)(quan)教育的工作之一，強(qiang)安(an)(an)全(quan)(quan)意(yi)識(shi)(shi)(shi)的人(ren)(ren)員可(ke)以避免、緩解企業(ye)在(zai)面對(dui)外部攻擊(ji)或(huo)滲透(tou)攻擊(ji)時風險和(he)損失。對(dui)于(yu)(yu)個(ge)人(ren)(ren)安(an)(an)全(quan)(quan)而言，警惕各種未知來源的信(xin)息，并在(zai)提供(gong)敏感信(xin)息之前進行仔細的驗(yan)證和(he)確認，提升安(an)(an)全(quan)(quan)意(yi)識(shi)(shi)(shi)亦能夠避免信(xin)息詐騙、釣(diao)(diao)魚帶來的個(ge)人(ren)(ren)財產損失。 在(zai)企業(ye)中進行常態(tai)化釣(diao)(diao)魚攻擊(ji)演(yan)練，可(ke)以幫助員工了解釣(diao)(diao)魚攻擊(ji)的手(shou)段、形態(tai)，增(zeng)進對(dui)于(yu)(yu)釣(diao)(diao)魚攻擊(ji)的識(shi)(shi)(shi)別和(he)意(yi)識(shi)(shi)(shi)防范(fan)，從而提升企業(ye)內部安(an)(an)全(quan)(quan)意(yi)識(shi)(shi)(shi)與能力(li)。

目的

釣(diao)魚攻擊(ji)演(yan)練的主(zhu)要目的是為了測(ce)試和提高企業(ye)(ye)或(huo)組織對釣(diao)魚攻擊(ji)的防(fang)御能力(li)，幫助員工(gong)和管理層(ceng)識別和避免(mian)釣(diao)魚攻擊(ji)，降低企業(ye)(ye)或(huo)組織的安全風(feng)險。

• 測評(ping)安(an)全(quan)(quan)防(fang)護(hu)能(neng)力：釣魚攻(gong)擊演練可以(yi)幫助組織評(ping)估自身的(de)安(an)全(quan)(quan)防(fang)護(hu)能(neng)力，發現安(an)全(quan)(quan)漏洞和薄(bo)弱點，制(zhi)定(ding)針對(dui)性的(de)安(an)全(quan)(quan)計劃和策(ce)略，提高組織的(de)安(an)全(quan)(quan)防(fang)范水平(ping)。
• 提(ti)高員工安全(quan)意(yi)識(shi)：通過釣魚(yu)攻擊(ji)演(yan)練(lian)，組織可以(yi)提(ti)高員工對安全(quan)威脅的認識(shi)和意(yi)識(shi)，幫助員工識(shi)別和避免釣魚(yu)攻擊(ji)，減少人為疏忽(hu)或錯(cuo)誤操作(zuo)帶來的安全(quan)風險。
• 降低安全(quan)風險：釣魚攻(gong)擊演練(lian)可(ke)以幫助組織及(ji)時發現并(bing)處(chu)理釣魚攻(gong)擊事件，減少(shao)被攻(gong)擊造成的(de)數據(ju)泄露(lu)、業務中斷等(deng)安全(quan)風險。
• 改善組織安(an)全(quan)文化：通過釣魚攻(gong)擊演練，組織可以加(jia)強(qiang)安(an)全(quan)培訓和(he)意(yi)識教育(yu)，建立(li)健康的安(an)全(quan)文化和(he)習慣，增強(qiang)組織的安(an)全(quan)素質和(he)反(fan)欺詐能(neng)力(li)。

演練流程(cheng)

釣魚攻(gong)擊演(yan)練(lian)(lian)是在企業內部進行(xing)的(de)(de)模擬攻(gong)擊演(yan)練(lian)(lian)，旨在通(tong)過(guo)無(wu)危害的(de)(de)方式檢測、培訓、改(gai)善(shan)企業員工(gong)的(de)(de)信息安全意識(shi)。同時，需要(yao)企業高(gao)層的(de)(de)批準和同意，結合企業的(de)(de)辦(ban)公(gong)場地(di)、員工(gong)特點、辦(ban)公(gong)特點等設計實施(shi)方案，以及考慮演(yan)練(lian)(lian)的(de)(de)效果。

釣魚攻擊演練的流程如下：

• 明(ming)確(que)演練的(de)受(shou)(shou)眾(zhong)：對演練受(shou)(shou)眾(zhong)進行確(que)認，包括規避敏感人群或崗位；
• 受(shou)眾(zhong)(zhong)環境調(diao)研(yan)：對演練(lian)受(shou)眾(zhong)(zhong)工作內容、習慣和場景(jing)進行調(diao)研(yan)；
• 釣魚方(fang)(fang)案設(she)(she)計(ji)：基于調(diao)研結果(guo)進行方(fang)(fang)案設(she)(she)計(ji)，確認場景和技(ji)術方(fang)(fang)案；
• 管(guan)(guan)(guan)理(li)層(ceng)授(shou)權批準：向管(guan)(guan)(guan)理(li)層(ceng)匯(hui)報演練方案，并(bing)獲得管(guan)(guan)(guan)理(li)層(ceng)授(shou)權；
• 通知企業相(xiang)關方：同步相(xiang)關安(an)全或運維部門方案，避免演練引起(qi)誤(wu)會；
• 釣魚樣本制(zhi)作：根據演(yan)練(lian)方案制(zhi)作相關的(de)釣魚樣本、環(huan)境或平臺(tai)；
• 釣魚演練執(zhi)行(xing)(xing)(xing)：執(zhi)行(xing)(xing)(xing)演練方案，并監測執(zhi)行(xing)(xing)(xing)過程，做好應急準備；
• 演(yan)練(lian)結(jie)果分析：對于演(yan)練(lian)結(jie)果進(jin)行分析，檢驗演(yan)練(lian)效(xiao)果及風險特點；
• 安(an)(an)全(quan)策略優化：根據演(yan)練結果(guo)調(diao)整必(bi)要的安(an)(an)全(quan)策略、安(an)(an)全(quan)控制措施；
• 安全意識(shi)宣貫：基于演練結果(guo)面向員工開展安全意識(shi)宣傳、培訓(xun)或考試；

方案設計(ji)

釣魚攻(gong)擊(ji)(ji)演練中所用到技術多(duo)樣，根據攻(gong)擊(ji)(ji)目標的(de)(de)特點和攻(gong)擊(ji)(ji)的(de)(de)方(fang)式(shi)，可以(yi)分為：釣魚攻(gong)擊(ji)(ji)、魚叉(cha)攻(gong)擊(ji)(ji)、水(shui)坑攻(gong)擊(ji)(ji)。本方(fang)案中的(de)(de)釣魚攻(gong)擊(ji)(ji)演練僅指釣魚攻(gong)擊(ji)(ji)。

根據(ju)攻(gong)擊目(mu)標(biao)所用到的(de)媒介，常見的(de)釣(diao)魚(yu)攻(gong)擊方(fang)式包括并不(bu)限于：郵(you)件釣(diao)魚(yu)、WiFi釣(diao)魚(yu)、短信釣(diao)魚(yu)、語音（電話）釣(diao)魚(yu)、U盤釣(diao)魚(yu)、宣傳(chuan)物釣(diao)魚(yu)。

演練方(fang)案(an)需要(yao)結合受眾群體(ti)和(he)受眾分析的結果進行詳(xiang)細設計，方(fang)案(an)內容包括：

• 方案(an)執行時間
• 方案技(ji)術選型(xing)
• 場景內(nei)容設(she)計
• 釣魚統計(ji)分析

技術選型

釣魚郵件(jian)

常見(jian)的(de)釣魚(yu)郵(you)(you)(you)件(jian)是通(tong)(tong)過兩(liang)個(ge)部(bu)分(fen)內(nei)(nei)容(rong)(rong)的(de)偽(wei)(wei)造(zao)(zao)來構建郵(you)(you)(you)件(jian)內(nei)(nei)容(rong)(rong)：發(fa)件(jian)人(ren)和(he)發(fa)件(jian)內(nei)(nei)容(rong)(rong)，發(fa)件(jian)人(ren)可以(yi)是外部(bu)發(fa)件(jian)人(ren)或偽(wei)(wei)造(zao)(zao)的(de)企業(ye)內(nei)(nei)部(bu)郵(you)(you)(you)箱，發(fa)件(jian)內(nei)(nei)容(rong)(rong)的(de)偽(wei)(wei)造(zao)(zao)包(bao)括(kuo)鏈(lian)接(jie)(jie)偽(wei)(wei)造(zao)(zao)和(he)附件(jian)偽(wei)(wei)造(zao)(zao)。 鏈(lian)接(jie)(jie)偽(wei)(wei)造(zao)(zao)包(bao)括(kuo)超鏈(lian)接(jie)(jie)的(de)偽(wei)(wei)造(zao)(zao)，通(tong)(tong)過href標簽(qian)和(he)<a>標簽(qian)的(de)不同構造(zao)(zao)虛(xu)假鏈(lian)接(jie)(jie)，以(yi)及頁面偽(wei)(wei)造(zao)(zao)，通(tong)(tong)過構建郵(you)(you)(you)件(jian)內(nei)(nei)容(rong)(rong)的(de)HTML信(xin)息(xi)(xi)呈(cheng)現偽(wei)(wei)造(zao)(zao)郵(you)(you)(you)件(jian)圖文(wen)和(he)按鈕(niu)信(xin)息(xi)(xi)，從而欺(qi)騙訪問者點擊圖片鏈(lian)接(jie)(jie)或按鈕(niu)鏈(lian)接(jie)(jie)，并在鏈(lian)接(jie)(jie)中呈(cheng)現偽(wei)(wei)造(zao)(zao)的(de)登(deng)錄頁面或注(zhu)冊頁面獲取(qu)員(yuan)工賬(zhang)戶信(xin)息(xi)(xi)，該信(xin)息(xi)(xi)可以(yi)作為演練結束后的(de)分(fen)析源(yuan)。

釣魚郵件示例

附件偽造通(tong)常(chang)會通(tong)過偽裝(zhuang)成Office文檔(dang)，在文檔(dang)中(zhong)嵌入宏腳本(ben)或其他鏈(lian)接，誘導訪問者(zhe)(zhe)進行執行或點擊，從而獲得相關(guan)的訪問者(zhe)(zhe)信息(xi)。

郵件釣魚流程

釣魚郵件(jian)的發送(song)時(shi)間通常在(zai)上班期間，尤其(qi)是剛剛上班或午休之(zhi)后等員工剛剛進入(ru)工作狀(zhuang)態(tai)。

郵件內容(rong)需(xu)要(yao)考慮(lv)到：

• 郵(you)件內容的設備兼(jian)容性(xing)（包括PC/Mac/Web/App）；
• 標題和內容(rong)具備(bei)足夠的(de)迷惑性；
• 發件人(ren)需(xu)要(yao)具備一定(ding)的迷(mi)惑性，比如人(ren)事部(bu)門；
• 頁面鏈接或附件鏈接需要具(ju)備唯一token用于統計(ji)點擊人員；
• 頁面內容需要結(jie)合(he)企業自身和熱點新(xin)聞進行設計，比如郵箱賬(zhang)戶信息收(shou)集；

釣魚Wi-Fi

釣魚Wi-Fi是在受眾群體所在的(de)場(chang)合(he)設(she)立偽造的(de)Wi-Fi熱點，欺騙受眾連接偽造的(de)Wi-Fi熱點上網(wang)，并從熱點的(de)設(she)備(bei)信息和設(she)備(bei)流量獲取相關的(de)訪問者(zhe)信息。

與Wi-Fi攻(gong)擊不(bu)同，釣魚Wi-Fi不(bu)能使用攻(gong)擊性(xing)的技術(shu)(shu)手(shou)段，因此，可選擇的技術(shu)(shu)方式通常只有偽造誘惑性(xing)的SSID名稱(cheng)。釣魚Wi-Fi由于是被(bei)動(dong)式的，相比釣魚郵件需要更長的演(yan)練時間來(lai)獲(huo)得演(yan)練效果。

另外，通過偽造Wi-Fi熱點進行設(she)備(bei)流(liu)量(liang)(liang)分(fen)析，在企業內部(bu)已經(jing)有(you)設(she)備(bei)網絡(luo)管(guan)理的前提下能夠更容易通過設(she)備(bei)MAC地址識(shi)別到(dao)員工信息，如果沒有(you)，則需要通過流(liu)量(liang)(liang)內容進行分(fen)析定位(wei)，或者無法定位(wei)到(dao)具體(ti)的員工。

短信釣魚(yu)

短信(xin)釣(diao)魚是通過發(fa)送短信(xin)的方式(shi)來(lai)進行信(xin)息(xi)獲取(qu)，通過發(fa)送偽(wei)裝成(cheng)銀行、社(she)交(jiao)媒體平臺、電子商務等(deng)(deng)合法機(ji)構的短信(xin)，誘騙受眾(zhong)點(dian)擊鏈接或回(hui)復(fu)短信(xin)，從而竊取(qu)受眾(zhong)的敏感信(xin)息(xi)，如用戶名、密碼(ma)、驗(yan)證(zheng)碼(ma)等(deng)(deng)，或者誘導受眾(zhong)下載惡意軟(ruan)件。

短(duan)信釣魚(yu)與郵件釣魚(yu)類似，發送時間同樣需要(yao)(yao)在員工(gong)工(gong)作(zuo)狀態進入(ru)到高峰期(qi)之前，同樣需要(yao)(yao)構造具有誘惑性或誘導性的(de)(de)短(duan)信內(nei)容和鏈(lian)接，并借助移動端瀏覽器的(de)(de)特點（屏幕小、地(di)址欄(lan)隱藏(zang)）構建訪問頁面(mian)，通過表單登記或App下載(zai)獲得受(shou)眾的(de)(de)身份信息。

語音釣魚

語音釣魚(yu)是一種利用電話或(huo)語音進(jin)行(xing)的釣魚(yu)攻(gong)擊，偽裝成(cheng)個人或(huo)機(ji)構(gou)通過電話或(huo)語音誘導受眾(zhong)提供個人信息或(huo)進(jin)行(xing)金(jin)融(rong)轉(zhuan)賬等操作。

語音釣魚(yu)受限(xian)于VoIP在國(guo)(guo)內的(de)應(ying)用(yong)，以及(ji)對(dui)于社工能力有較(jiao)高(gao)要求，在釣魚(yu)演(yan)練中不常使用(yong)，結合國(guo)(guo)內社交軟(ruan)件的(de)環(huan)境(jing)，比如微(wei)信(xin)、QQ、微(wei)博(bo)等(deng)，可以通過常用(yong)的(de)社交軟(ruan)件或平臺進(jin)行釣魚(yu)攻擊。

除平(ping)臺不同之(zhi)外(wai)，內容設(she)計(ji)與郵件、短信釣魚(yu)類(lei)似，需要結(jie)合受眾特點進行(xing)設(she)計(ji)，比如女性對(dui)于美妝的(de)喜(xi)好(hao)，男性對(dui)于游戲的(de)熱愛。與郵件、短信不同，社交釣魚(yu)執行(xing)時需要挑選非工作時間，例(li)如晚(wan)上20點之(zhi)后(hou)，通過社交平(ping)臺私信、加好(hao)友(you)等(deng)方式發送釣魚(yu)信息，從而進一步獲得受眾的(de)信息。

U盤(pan)釣魚

BadUSB的(de)制(zhi)作成本(ben)低廉，網(wang)絡(luo)平臺(tai)購買類似硬件的(de)成本(ben)不超過(guo)5元(yuan)（通常在2元(yuan)左右），樣本(ben)制(zhi)作過(guo)程中(zhong)會使(shi)用到Arduino IDE進行(xing)腳本(ben)編(bian)寫(xie)，比如執行(xing)CMD命令(ling)或者執行(xing)PowerShell命令(ling)，并通過(guo)回連上傳(chuan)受(shou)眾信息。釣魚(yu)演練由于僅(jin)為測(ce)試(shi)員工的(de)信息安全(quan)意識(shi)，因此腳本(ben)編(bian)寫(xie)成本(ben)和(he)周期相對低廉和(he)簡短。

在場景設計中，U盤釣魚(yu)需要基于員(yuan)工辦公(gong)(gong)的場景和辦公(gong)(gong)內(nei)容，并在多個(ge)地(di)方(fang)放(fang)置樣本U盤，常見(jian)的場合包括(kuo)：辦公(gong)(gong)區地(di)上、公(gong)(gong)司走廊(lang)、會(hui)議室(shi)桌面等等。

宣傳物釣魚

宣傳物(wu)釣魚(yu)是(shi)指(zhi)通過設(she)計有(you)惡意二維(wei)碼的(de)海報、傳單(dan)等宣傳物(wu)，在公司辦(ban)公區周邊(bian)進(jin)(jin)行散發，通過宣傳內容(rong)誘導(dao)受(shou)眾(zhong)進(jin)(jin)行二維(wei)碼掃描，掃描結果被設(she)計為表單(dan)形式，從而獲取受(shou)眾(zhong)信息。

宣(xuan)傳物釣魚(yu)執(zhi)行的時(shi)(shi)間點(dian)建議設(she)置(zhi)在下午到下班時(shi)(shi)間段(duan)，這時(shi)(shi)員工的心情和狀態較為松(song)弛，更容易(yi)接受和注意到宣(xuan)傳的內容。

演練匯報

演(yan)(yan)練(lian)(lian)結束之(zhi)后，需要(yao)通知相關(guan)(guan)部(bu)門（安全部(bu)門/運維部(bu)門）恢復演(yan)(yan)練(lian)(lian)過程相關(guan)(guan)的安全事(shi)件(jian)監測和(he)應急，并需要(yao)撰寫(xie)演(yan)(yan)練(lian)(lian)報告(gao)向上進行匯(hui)報，展(zhan)示釣(diao)魚攻擊演(yan)(yan)練(lian)(lian)的成果(guo)(guo)，以及針(zhen)對成果(guo)(guo)需要(yao)開展(zhan)的員工(gong)(gong)培訓(xun)、考(kao)核(he)等工(gong)(gong)作(zuo)。

匯報(bao)內容的(de)結構可以(yi)參(can)考：

• 演練背景
• 演練目的
• 演練過程（包(bao)括方案設計和(he)技術選(xuan)型）
• 演練(lian)結果（包括時(shi)間段、被釣(diao)人(ren)員清單、人(ren)員分析）
• 總結與計(ji)劃（包括演練(lian)效(xiao)果的總結、下一步的工作計(ji)劃）