网络钓鱼很“任性” 用户屡屡中招却为何

如今，垃圾邮件早已为人所熟知。这种邮件往往给某种产品做广告，其发送者利用从各种源头获得的邮件地址清单，发送大量的垃圾邮件。它一般都没有特定的目标，发送者依靠接收者的绝对数量为其提供收入。

垃圾邮件成为一种有利可图的业务方案，但它一般并无恶意，且其内容一般并不涉及到恶意软件或病毒。

而网络钓鱼实际上是一种特殊形式的社交工程。网络钓鱼者一般不会盲目地将成千上万的邮件发送给随机用户，而是往往有着具体目标。钓鱼一般是通过电子邮件或恶意网站来发起的，其意图是通过扮演某个用户已经认识或信任的人来获得用户信任。其获取用户信任的手段是使用用户已经认识的人的邮件地址或姓名，或是使用有名望的机构的名称来取得用户的信任。其扮演的机构可包括银行、电子商务网站(如京东)，或是其它公司或企业。“这些机构”的邮件消息可能要求用户的账户信息去验证其身份，或者可能提示用户：你的账户或货物发生了问题。钓鱼攻击也可以由即时消息通信、文本通信、打电话等来发起，但其基本伎俩却是类似的。

钓鱼攻击还可以利用慈善机构或企业的名称或声誉，甚至可以利用当前发生的事件(如埃博拉病毒的暴发)、灾难(如地震、洪水泛滥)等。

钓鱼邮件或网站往往利用恶意软件、病毒或其它恶意代码来破坏用户的计算机，并获取关于用户的进一步的信息。其发出的消息可能指出用户的名字，看起来就如同来自亲朋、同事，或是来自企业正在合作的伙伴。换句话说，这类邮件可能在多个方面看都是合法、合情、合理的。

虽然今天钓鱼攻击的基本概念并没有什么变化，但是，其实施和利用漏洞的手段已经发生了变化。在2014年下半年以来，一种新型的攻击开始利用常见的钓鱼技术，并部署银行恶意软件。这种钓鱼邮件的目的是欺骗接收者打开附件中的PDF文件(如标题为“未付款发票”的文件)。

这种攻击的有效手段为银行恶意软件，它利用的是一个新的Adobe漏洞。虽然此漏洞并不是零日漏洞，但补丁的部署和更新往往姗姗来迟。攻击者就是利用这种延迟，部署其钓鱼机制，并耐心等待，在发现新漏洞时，就可以快速发动攻击。

还有另一种形式的钓鱼威胁也值得一提，因为它依赖的是一种不同类型的东西，即欺诈软件。这种恶意软件不会窃取或检索用户的个人信息(姓名、银行信息凭证等等)，这种恶意软件可以加密受感染的计算机上的文件，并要求用户付款。

用户为何屡屡中招

钓鱼攻击早已横行多年，而且其伎俩具有相当的连续性，但用户仍屡屡中招。为什么?三个主要的因素可概括如下：

信任：IT领域之外的人们，特别是IT安全领域之外的人更容易相信别人。如果这些用户收到了一份电子邮件消息，告诉其信用卡信息遭到泄露，或是忘记了付款，这些用户就有轻信的倾向。如果用户收到了某个认识的人的邮件，就很容易相信。

恐惧：为什么说恐惧是这类钓鱼攻击成功的因素?信用卡信息遭到泄露的新闻屡屡见诸各种媒体，还有一些大型企业遭到黑客攻击，成千上万的客户记录被泄露。人们一般都担心自己会有财务损失，或者其信用受到负面影响。钓鱼邮件就是利用人们的这种心理，要求用户快速做出响应。

缺乏认识：教育一直是信息安全的首要工作。多年以来，安全专家们都知道人员是防御阵线中的最薄弱环节。在网络钓鱼问题上，尤其如此。如果不理解这一点，势必会出问题。许多人至今都不理解与使用互联网及其资源有关的各种风险。电子邮件及其附件、网站、文件下载等每天都有可能给员工和企业带来各种风险。

作者：赵长林

来源：51CTO