攻击可能源自我们认识的人

如今的网络钓鱼邮件往往是由那些我们平日里能够接触到的人们所发出，而非什么“尼日利亚王子”。具体来讲，钓鱼邮件发送者可能显示为我们的顶头上司、团队领导或者其他一些权威管理者，也只有这样恶意人士才能确保受害者打开电子邮件，并依照邮件中的具体内容行事。

这些邮件可能源自外部，并通过伪装让受害者误以为其来自某位企业高管的个人邮箱账户。毕竟我们每个人在日常工作当中，都或多或少收到过某位同事不小心使用自己个人邮箱账户发出的工作信件。所以在面对这种普遍存在的失误时，我们一般不会联想至其属于攻击活动的重要组成部分。

这类邮件可能会来自某个我们耳熟能详的主流公众邮件服务器(例如Hotmail或者Gmail等等)，而发件人会自称其之所以使用这个此前未见的账户，是因为其暂时无法顺利登录自己的工作邮箱——同样的，我们也都遇到过这类状况，对吧？

不过在相当一部分情况之下，这些伪造的钓鱼邮件确实来自其他同事的真实工作邮箱地址——这可能是因为钓鱼攻击组织已经能够从外部成功伪造邮件的原始地址，也有可能是其已经顺利获取到了员工的个人邮箱账户。而后者是目前较为常见的一种攻击方式——毕竟咱们普通员工肯定会认真查看老板发来的邮件，而在点击鼠标的一刹那、大家已经中招了。

　　攻击中涉及我们当前正在进行的项目

很多网络钓鱼受害者之所以踏入陷阱，是因为攻击者似乎确切了解他们当前正在处理的工作内容。这是因为网络钓鱼者们已经用了很长时间来进行研究，或者已经控制了某些企业同事们的邮箱及邮件内容。总而言之，钓鱼邮件中可能包含“此为你一直在申请的XYZ报告”或者“我将你发来的报告进行了整理，结果如下”等极具误导性的标题，而邮件还有着发送者添加的报告副本链接——不过请当心，其已经被替换成了会自动执行的恶意链接。另外，钓鱼邮件中还可能探讨某个项目的可行性，例如提问“你认为这些因素是否会对我们的项目造成影响？”或者“其它企业已经抢先一步实现了同样的功能！”，而接下来仍然是被伪装成该项目相关报道文章的恶意链接。

我曾经发现过某些钓鱼邮件号称由律师发出，旨在征集个人意见以支持儿童在父母离婚案件当中的影响能力。我还见过一些钓鱼邮件发自某些专业机构的领导者，且直接面向其下属的团队成员。另外，还有一些由企业高管人士发出的钓鱼邮件宣称目前存在尚未解决的诉讼案件，要求接收者对对应的高度机密PDF文件进行“解锁”。除此之外，我甚至见过一些伪装成由安全专家发出的钓鱼邮件，其中指出邮件内包含的是接收者最近刚刚购买并安装的某款产品的最新安全更新，要求目标受众尽快进行查看。

这些钓鱼邮件的标题与主体内容已经不再是过去那种老套的“快来看！”。不，如今的钓鱼邮件往往来自我们认识的人且包含准确的生活及工作相关信息，而这一切都极大提高了其可信度。在了解到这一切后，我们真的希望能够回到过去——回到那个恶意邮件内充斥着亲属虚假身故消息与伟哥广告的时代。

　　攻击者已经在不断监视我们的企业邮件

最近一段时间，有组织的攻击者们开始对企业中的大量邮件账户进行持续监视。通过这种方式，他们得以获取到必要的背景信息，从而更加顺利地愚弄企业员工并了解到那些最敏感且最具价值信息的来源、传递方式及保存位置。

如果大家发现自己所在的企业已经遭到侵入，那么请首先假设所有高管成员以及VIP邮箱账户都已经被突破，且受到了长时间的监视。甚至针对恶意人士的初步检测报告也有可能已经被他们所发现——总而言之，假定他们已经掌握了我们所拥有的一切信息。

当面对这种对手时，惟一的解决方案就是建立起一套“彻底独立出去”的网络体系，其中包括全新计算机以及新的邮件账户。除此之外，任何抵抗工作都可能是在浪费时间。

　　攻击者能够根据需要拦截并篡改电子邮件内容

如今我们的对手已经不再只是被动的信息获取者。他们在必要情况下，甚至有能力拦截并篡改电子邮件的具体内容——虽然只能在一定程度进行篡改，但已经非常可怕。有时候他们能够将邮件中的肯定意见修改为否定，或者将否定意见修改为肯定。此外，他们能够添加更多收件人，对邮件分组进行调整，甚至关闭信息加密以及签名机制。

根据我的经历，最臭名昭著的实例之一就是某家公司已经意识到其受到高级持续性威胁的严重入侵。在某次尝试光复网络环境的行动当中，其帮助台发送了一封电子邮件，要求每位收件人对其密码内容进行修复。当然，这肯定会增加恶意入侵者的登录难度——除非其已经控制了帮助台自身的电子邮箱账户。在发送这封电子邮件之前，入侵者修改了其中的嵌入式链接，从而使其获取到了来自用户密码内容的副本——换言之，一轮密码变更导致公司上下的所有账户都被入侵者所掌控。是的，用户们积极遵循着“帮助”台的指引，但却反而让入侵者捕捉到了每条变更密码的具体内容。

　　攻击者利用定制化或者内置工具破坏杀毒软件

过去几十年来，钓鱼邮件一直利用常见的恶意工具作为辅助手段。然而如今恶意人士开始采用定制化工具来伪造并加密自己的邪恶意图，或者将程序内置在受害者所使用的操作系统当中。由此带来的结果非常明显：我们的反恶意扫描工具无法检测到这些恶意文件或者命令。而当犯罪团伙入侵到我们的网络内部之后，他们也会非常谨慎地利用同样的方式进一步完成渗透。

利用受害者内置脚本语言(例如PowerShell以及PHP等等)编写而成的恶意脚本已经快速成为攻击者们的首选方案之一。PowerShell甚至直接出现在了恶意软件工具包当中，这最终使得纯PowerShell型恶意程序成为可能。

而进一步助长这类趋势的现实情况在于，我们很难利用反恶意软件甚至是司法取证方式来检测某款合法工具是否被用于实现邪恶意图。举例来说，远程桌面协议(简称RDP)连接就是非常典型的代表。几乎每一位管理员都会使用这项协议，恶意人士也是同样。在这种情况下，我们将很难证实特定远程桌面协议连接到底是否在实施邪恶的勾当。不仅如此，我们也几乎没办法在不影响正常员工常用工具的前提下，通过移除合法工具来清理系统并挫败攻击者的阴谋。

　　攻击者通过军用级加密技术对受害者数据进行传输

利用随机选定的端口将数据从内部网络中复制出去的时代已经过去了。同样的，如今攻击者们也不再通过常见的保留端口(例如IRC端口6667)以远程方式进行命令发送与恶意控制创建。

如今利用SSL/TLS端口443作为恶意程序工作面已经成为业界共识，其同时还会配合军用级别的AES加密机制。大部分企业都很难对端口443流量进行追踪，其中相当比例甚至压根不会尝试。如今企业越来越多地利用防火墙以及其它网络安全设备对入侵者的443数字证书加以替换，从而实现443流量获取。不过当443流量中的数据经过了AES加密，那么取证工作将基本宣告失败。这虽然令人无奈，但却也是残酷的现实。

恶意软件编写者对于标准化加密机制的运用可谓炉火纯青，甚至连FBI方面都会直接建议勒索软件的受害者们直接付款来解决问题。事实上，如果大家发现某款恶意程序运行在非443端口之上且没有经过AES加密来掩盖其行踪，那么其始作俑者很可能只是一位技术水平低下的脚本小子。另外，即使我们找出了这类安全隐患，其恐怕也已经在大家的系统当中驻留了相当长的一段时间。

(责任编辑：安博涛)