近年来钓鱼邮件攻击者开始利用人们的心理，利用人们广泛关注的热点事件传播钓鱼邮件。社会热点事件、节假日、六一八购物狂欢、双十一血拼，这些时间点，是钓鱼邮件传播的高峰期。据相关统计显示，2019年全国企业邮箱用户共收到各类钓鱼邮件约344.3亿封。面对如此庞大的钓鱼邮件数量，企业用户一不小心便会掉进黑客的邮件圈套。

网络钓鱼电子邮件种类繁多，但主流的攻击方法大致可分为以下几种：

(一) 邮件正文插入恶意链接

这是一种最基础的攻击方式，就是在邮件正文中放入一个恶意诱导链接，等待用户进行点击，链接后面是一个伪造的网站，可能是一个恶意程序下载链接或者一个用于伪造的登录入口等。

攻击者会利用一些近期一些热点事件或者公司内部信息如疫情、产品介绍、系统账号升级等，以提高内容可信度，诱导用户点击链接。而恶意链接部分也进行伪装。

(二) 邮件附件藏毒

此类也是常见的一种，攻击者的payload含在邮件附件里，载体有直接的文档、图片、压缩包、脚本程序（exe、vbs、bat）等。

最直接的方式当然是直接发送脚本程序，但是容易被诸如网易企业邮箱等邮箱安全机制拦截或者人员识破，因此攻击者会使用一些伪装手段，如使用超长文件名隐藏后缀等。

最常用来攻击的办公文件为Word文件，其次为Excel文件。此类恶意文档简单的是利用宏代码调用powershell进行命令执行，高级的直接利用office等客户端软件漏洞。而ZIP压缩格式较常被用来夹带恶意文件，用于躲避邮件沙箱或者安全杀软的直接查杀。

屡试不爽的 Office 文件漏洞，一直是攻击者爱用的武器之一。除了作业人员、防病毒软件对文档的警觉性较低外，许多人所使用的 Office 不会经常性更新。除了公司预算的问题外，原本就使用了非正版Windows，或担心兼容性、使用上的适应性，以及缺乏漏洞修补的概念，都是使用者不愿更新的原因。

(三) 利用软件漏洞攻击

此类做法主要是使用邮件进行投递攻击武器，武器本身利用了邮箱、客户端软件如浏览器、office、系统等本身的漏洞，此类攻击需要配合操作系统/浏览器的 0day 或者 Nday，而且需要对攻击者使用的终端应用软件进行比较精准的识别，因此攻击成本较高，但是最终的效果还是很不错的，如利用邮箱的xss漏洞获取了大量员工邮箱账户cookie信息。

其他常见利用的漏洞有windows系统漏洞、office漏洞、Winrar目录穿越等。

(四) 利用邮件协议漏洞攻击

主要利用了邮箱本身安全设置问题，若邮箱地址没有设置spf，那么就会有人假冒真实域名发送邮件。

·邮件伪造

使用swaks可以非常简单的向目标投送伪造的钓鱼邮件。

·邮件协议爆破

使用万能爆破工具hydra可以对常见邮件协议进行爆破。

(五) 邮件发件人身份“伪造”

这里面伪造笔者使用了引号，为什么呢？这个伪造可能是使用真实的发件人邮箱身份，如攻击者通过一些方式窃取了一些真实可信的邮箱身份。

当然还有一些比较迂回的方式，如果通过邮箱直接攻击B单位人员无法成功，那么攻击B单位的上级单位或者有较强业务往来的A单位人员邮箱，然后利用B对A的可信度，伪造邮件向其索要一些敏感信息或者要求安装一些异常软件等。实际的对抗中确实有某攻击队通过此方式直接获得了目标单位全员信息（姓名、电话、邮箱、住址）。

俄罗斯网络安全企业卡巴斯基实验室俄卡巴斯基实验室反垃圾邮件开发处负责人德米特里戈卢别夫向卫星通讯社表示，实验室已经开发出一款智能系统，能够通过自主分析来确认邮箱中的钓鱼邮件和垃圾邮件。

CC0俄卡巴斯基实验室：五分之一的俄罗斯人在网上发现过自己不愿公开信息

钓鱼是一种通过大量发送电子邮件（垃圾邮件），甚至冒充金融和国家机构、社交网络的冠名信息，或者通过虚假网站来盗窃认证信息（密码、信用卡数据、社交网络信息）的方法。犯罪分子有时会使用类似域名或URL地址伪装成著名品牌的官网。

卡巴斯基实验室研发的这款智能系统可以分析不记名客户统计数据中钓鱼邮件和垃圾邮件的各种特征，以这些数据为基础生成分类组，例如通过分析邮件标题中的字段分布次序。

戈卢别夫解释说：“一旦发现潜在的垃圾信息，系统就会将其架构与分类组中的典型样本进行对比，这样就提高了主动发现垃圾邮件的水平，涵盖面更广。这种技术降低了网络带宽和邮箱服务的损失，帮助用户避免了为自行过滤邮箱内容和建立自己的保护名单而浪费时间。”

检查垃圾邮件的启发式规则生成方法及其系统开发专利于2020年1月颁发，随后入选“2019和2020上半年全俄100项最佳发明”。

戈卢别夫补充说：“这项技术并不是专用于查找钓鱼邮件，但能够用于分析钓鱼邮件附加的元信息，最终建立更加前摄的直观推断，因此能够查出其中的数种邮件。”

如何防止钓鱼邮件攻击

在企业网络安全威胁因素中，钓鱼邮件是最常见、影响最严重的攻击方式，黑客只需要将有害链接一键发送，就有成千上万的人将遭受威胁。随着钓鱼邮件愈发“精进”，即使细心的用户，也容易出现一时大意难以辨别的情况，如何防止钓鱼邮件攻击，是企业网络安全部门最头疼的问题之一。

员工邮件帐户划定级别，重要账户双因素认证

许多企业对于员工的账户都设定了通用权限，但事实上，这是非常危险的行为，一个账户遭受攻击，可能会波及全公司的网络。正确的做法是，为员工的账户划分等级，普通员工使用最低级别的用户权限，即使被攻击也可以减少潜在的伤害，对于高级别的账户，可以采用双因素认证。

设置电子邮件过滤服务器

要求员工来进行钓鱼邮件的识别和清除工作是比较困难的，事实上，企业通过设置电子邮件过滤服务器，可以过滤掉大部分钓鱼邮件，因为目前看来，多数钓鱼邮件还是按照传统的攻击形式来进行的。像语法和拼写都不规范的国外邮件、包含诸如“24小时之内处理”、“请立即单击此处”等紧急行动威胁暗示的内容、要求付款的内容，可以标注为风险邮件，提醒员工谨慎处理，在过滤规则上，可以结合企业的实际经营情况来进行设定。

鼓励员工报告疑似攻击的行为

事实上，多数员工都经历过疑似被攻击的行为，但因为不能进行判断而不了了知，这些隐患或许就是企业下一次遭受攻击的主要原因。企业应当建立起全员重视网络安全的氛围，当遇到钓鱼攻击邮件，要及时上报，交由相关部门进行专业的核查和备案，要知道，有不少企业就是因为此前遭受过网络攻击却没有及时处理，最终酿成事故，不但得不到赔偿，反而还要被罚款。

钓鱼邮件对企业造成的危害不言而喻，想要从根本上杜绝不是一朝一夕的事情，对于企业而言，要形成全单位共同应对网络风险的良好氛围，才能尽可能地避免损失，帮助企业更好的运营