与漏洞挖掘利用或各种伪装及渗透相比，钓鱼邮件因其成功率高、操作简单成为了攻防演练中最常见的攻击方式之一。

这也与现实的网络安全情况相吻合。

2020年Verizon数据泄露调查报告（DBIR）发现，恶意电子邮件附件是数据泄露和勒索软件攻击的主要原因。统计发现40%的攻击都使用的是电子邮件链接，电子邮件链接成为了最常用的感染载体。

那么该如何防范邮件钓鱼呢？

最有效的办法是在攻防演习前以及日常工作中进行不定期式的反钓鱼演练，通过仿真训练提升全员的安全防范意识，降低企业信息泄露的风险。

在最近一次长达半个月的大型攻防演练中，CAC云安全中心通过发信行为分析、邮件内容特征检测、恶意URL检测、附件检测等多种方式，主动发现并处理了16起恶意邮件攻击。

尽管网传了不少红队（攻击方）气势汹汹要把蓝队（防守方）的“内网打穿”的段子，但演习结束后，CAC云安全中心总结发现恶意邮件的攻击套路基本大同小异，下边就以一个典型案例来给大家复盘一下钓鱼邮件的典型特征，以供参考。

01 攻防复盘：冒充管理员群发钓鱼邮件

2021年4月12日，CAC云安全中心在例行的巡查工作中，发现了一例疑似针对某单位的恶意攻击行为。

攻击者试图以个人邮箱冒充公司“技术管理部”，要求用户打开加密带毒附件。该单位共21名用户收到主题为“【技术管理部-紧急通知】关于自检工作电脑漏洞的提示通知 ”的恶意邮件，附件为“自检工具.Zip”，后经验证该附件实际为后门病毒。

如上图所示，钓鱼邮件特征相当明显。

1、个人邮箱账号仿冒，赢取信任。发件人假装企业“技术管理部-紧急通知”，且邮件内容措辞正式。通过身份伪装，使受害者卸下心防，更容易达成攻击的目的。

2、反常的加密附件，躲避防病毒查杀。邮件内容为下载加密的“自检工具”检查电脑漏洞，并非金融、账务、内部机密等敏感文件，却进行加密传输，且密码附在邮件原文中，这不符合加密的逻辑。

钓鱼邮件示例

小tip：为什么附件加密压缩可以绕过防病毒检测呢？事实上，只要对附件进行了加密与压缩，任何的防病毒检测工具便失效了，因为其无法探测到加密文件的内部情况。而攻击者还会通过恶意附件类型仿冒（.docx.exe）、利用空格延长恶意附件文件名等手段，进行恶意附件的免杀处理，“巧妙”绕过各类反病毒、云沙箱等杀毒产品的防线。

3、轮换发信人发信。该主题邮件发送了12封，轮换4个不同的个人邮箱账号发送，发给同一域名的收信人。除第一封邮件为攻击队测试邮件外，其余邮件内容、主题、fromname都一致。

4、发信方非常谨慎。发信方在短时间内持续发送了11封邮件，但在CAC云安全中心拦截该主题邮件后，对方立马察觉并停止发送邮件。

5、所有邮件的发信IP均为境外的代理节点IP。

6、第一封邮件收信方已被盗号。该账号今年内仅接收10封邮件，且均为垃圾邮件，4月8日前无发信记录，但在4月9日发送2封可疑邮件，经安全专家分析确认该账号已被盗号，密码、通讯等敏感信息被泄露。

02 附件主题：夸张惊悚引诱点击

不得不说，虽然利用加密压缩进行免杀的手法较为常见，但命中率高，用户点击可能性大。

同样的情况也发生在某国有集团身上，2021年4月9日，某国有集团就收到了一封主题为“投诉关于**拖欠民工工资的事情！！”的恶意附件邮件，恶意附件为“拖欠民工工资线索整理.zip”。

幸运的是，从后续监控的结果来看暂未发现有账号被盗的情况。

演练期间，可以看出红方攻击在邮件主题方面确实绞尽脑汁。

邮件主题从煽动信息到求职举报，再到漏洞自检、放假安排。深谙网络爆款十万+文章的蹭热点精髓，就业再上岗转战新媒体也未尝不可。

03 安全建议：建立应急响应机制，提升安全意识

从上述复盘可以看出钓鱼邮件的攻防是一个持久而富有挑战的过程，我们在此对广大邮件系统用户提出以下安全建议：

1、部署安全有效的邮件安全网关或云服务，提升邮件内容安全防护

2、企业应建立快速的安全应急响应机制，发现恶意邮件批量投递成功等事件，应及时删除恶意邮件，并对受影响账号快速进行处置

3、长期坚持安全意识培训和有计划的反钓鱼演练，提高员工安全意识