黑客在去年對美國橡樹嶺國家實驗室及今年十月初對美國白宮的兩輪攻擊中均使用了釣魚式攻擊，讓政府部門鳴起警鐘。同時，商業也成為了釣魚式攻擊的主要受害者，黑客們不斷地通過攻擊竊取客戶的源代碼、知識產權及財務信息，成為企業正常發展的羈絆之一，而對于IT管理人員來說，這更是縈繞在心頭的沉重陰影。釣魚式攻擊現已成為IT業界最為關心的話題之一。

Websense作為全球領先的統一Web、數據和電子郵件內容安全解決方案提供商，其安全實驗室的安全專家一直通過ThreatSeeker Network攔截并分析各類釣魚式攻擊，并于十月發布了關于釣魚式網絡攻擊的最新報告，報告包含如下要點：

釣魚式攻擊往往隱藏在垃圾郵件中

垃圾郵件常被作為許多網絡攻擊的先頭部隊，攻擊者往往發出數目驚人的垃圾郵件，以便在數字證書到期或被攻擊者實施必要的防護前滲透到目標區。Websense的報告顯示：92%的垃圾郵件都附帶URL鏈接，而在所有的垃圾郵件中，只有約1.62%的郵件能引起釣魚攻擊。雖然這個比例看起來不大，但對于每小時有超過25萬封垃圾郵件被發送出去的基數而言，影響程度可想而知。相對含毒郵件在垃圾郵件中僅占約0.4%的比重，釣魚攻擊類垃圾電郵的滲透力更為可觀。

這些用于釣魚攻擊的郵件所附帶的鏈接會將用戶重定向到一些虛假的惡意站點，黑客會在受害者加載頁面的同時竊取其登錄信息等敏感數據。Websense的研究表明，大多數的惡意站點被架設在美國。這些托管著釣魚式攻擊所用的惡意URL的服務器基本上無須人員值守，因此，并不能作為判斷攻擊者所在地的依據。

另外，Websense在報告中也列出了全球十大釣魚攻擊惡意URL托管主機所在地，排名從高到低分別為美國、加拿大、巴哈馬、埃及、德國、英國、荷蘭、法國、巴西、俄羅斯。

社會工程學是黑客們的拿手好戲

當這些惡意郵件到達用戶的郵箱后，如何才能吸引用戶點擊附帶的URL鏈接呢？黑客們會分析用戶的行為習慣和特殊心態，通過社會工程學進行誘騙，降低用戶的警惕性。比如，近期通過發送虛假的殺毒提示，攻擊者屢屢得手。

面對瀏覽網頁時右下角彈出的殺毒警告，人們基本上是不予以理會的，因為他們已經熟知這類的騙局。但當您在郵件中收到此類通知，且發件者看起來像和您有關聯的組織（如銀行、SNS網站）的時候，用戶點擊惡意URL的幾率就提升了。

Websense分析發現，在今年最近的一個季度中，這類郵件主題在量級排名前五名中已占到四個名額之多。黑客們的目的非常明確，就是要吸引盡可能多的用戶點擊鏈接。我們在這里列出五大可疑信息，供讀者參考：

1、您的賬戶已被第三方登錄

2、XX銀行賬戶服務消息

3、您需要新的安全措施

4、請驗證您的活動

5、賬號安全通知

精心布局，繞開公共防護體系

有的用戶也許會說，我的郵箱只在公司才用，公司的電子郵件安全系統會幫我掃描并過濾掉這些垃圾郵件。其實不然，黑客們的機智程度往往令人咂舌，他們可以繞過一些專業的IT防護系統。

Websense的統計發現，大多數的網絡釣魚電子郵件是在周五被發送的，其次是周一，分別占比38.5%和30%，周日占比10.9%，周二、周三、周四和周六的占比只有可憐的3%-6%。

這些數據說明了如下事實：

黑客們已經熟知人們的行為模式，每周五，員工們大都處于放松的狀態及對周末的渴望，這很可能導致網頁瀏覽量及鏈接點擊率的增加；而每周一，員工剛度過周末，馬上要逼自己進入工作狀態，也很可能走神，落入圈套。黑客們同時還研究了企業IT安全防護的運作模式，這也是他們會選擇在周五和周一攻擊的另一原因。

攻擊者在周五發送的郵件中往往附帶“干凈”的URL鏈接，以此繞過企業IT安全防護的掃描，而在周末，他們會改變URL的定向位置，以便將受害者引向惡意站點。到了工作日，員工們會以為自己即將訪問的是正常頁面，然后攻擊就奏效了。

這樣的布局可以讓黑客們輕易獲取員工的相關權限，訪問特殊的網段竊取敏感信息，或者以此為跳板，入侵更高級別的企業管理者網絡。

這簡直就是各機構安全防護人員的噩夢，這類攻擊的風險已經迫在眉睫，而他們卻常常力不從心。釣魚式攻擊其實并不是靠量級和覆蓋面取勝，而是依靠精心的布局和適當的引誘，這些社會學攻擊有時甚至讓有安全防護措施的用戶落入陷阱，因為他們認為自己有到位的防護，并在潛意識中對即有的安全措施過度依賴。

愿者上鉤，黑客們新的獵物手段

最近，又爆出了新的釣魚攻擊方式，與以往的釣魚攻擊主動引誘用戶不同，新的釣魚方式有點守株待兔的意味。

Websense的安全實驗室已經確認了幾起這樣的攻擊事件：今年5月，美國國家安全研究協會在以色列的網站被黑客悄無聲息地占領后，不停地向來訪者發動RSA攻擊；同月，英國國際特赦組織官網也被攻占，并在被攻占后釋放Gh0st RAT，攻擊來訪者；今年8月，尼泊爾政府官網同樣成為一個布滿Zegost RAT的大陷阱。

以上3個事件中，黑客們都利用了同一個安全漏洞：CVE-2012-0507，此類性質的攻擊可能是某些國際組織獲取資訊的手段。他們選擇這類有固定訪客類型的公共站點，在不必知道訪客的電子郵箱地址的情況下，編造一系列的社會工程學陷阱。我們可以推測，這有可能是一次偵查活動，他們的目標則是一些更為特殊的群體。

阻止釣魚式網絡攻擊的三項建議

在安全報告中，Websense闡釋了垃圾郵件是如何被釣魚攻擊者利用，釣魚攻擊者是如何制造各類陷阱，黑客又是如何繞過安全防護，及最新的釣魚式攻擊的變型等問題。同時，Websense的安全專家給出了如下建議：
 
職工培訓

釣魚式攻擊中，人為因素是非常關鍵的。職工的相關培訓是最基礎的部分，可以通過制定員工手冊、VOD在線和培訓大會等行政手段貫徹實施，以便讓職員清晰地認識到在點擊郵件或鏈接前謹慎考慮的重要性。

電子郵件沙盒

沙盒技術的部署是電子郵件安全解決方案中重要的一環。為了在用戶點擊URL時檢查這些鏈接，企業需要URL沙盒技術的支持，以便實時分析加載網頁的內容及代碼。

實時監測分析網站流量

因為一些員工可能會使用Gmail等個人郵箱，所以包含釣魚式攻擊的惡意郵件很可能會繞過企業的安全網關，讓企業的沙盒形如虛設。這種情況下，企業需要提升安全網關的智能等級，以便實施分析網段中的可疑內容，阻止惡意郵件在內網的流通。

Websense的專家指出：以上三項安全防護工作若能被各組織認真對待且部署到位，可成功阻止90%-95%的釣魚式網絡攻擊。