冒充尼日利亞王子之類的伎倆早已過時(shí)——如今釣魚欺詐活動(dòng)已經(jīng)成為極為復(fù)雜的業(yè)務(wù)體系，即使是最具經(jīng)驗(yàn)的安全專家都有可能被其騙倒。

幾十年來，網(wǎng)絡(luò)釣魚郵件已經(jīng)成為計(jì)算機(jī)領(lǐng)域中的一大安全禍根，當(dāng)然我們也使出了渾身解數(shù)、努力將其扼殺在搖籃當(dāng)中。時(shí)至今日，大多數(shù)普通用戶已經(jīng)能夠通過標(biāo)題行意識到其邪惡本質(zhì)，并在發(fā)現(xiàn)之后直接將其刪除。而如果大家無法完全確定其性質(zhì)并將其打開，那么其中過于正式的問候方式、詭異的國外發(fā)送地址、拼寫錯(cuò)誤、荒謬到無法形容的獎(jiǎng)勵(lì)內(nèi)容描述乃至過于殷勤的產(chǎn)品推銷言辭都能夠讓我們立刻發(fā)現(xiàn)其背后潛伏著的危險(xiǎn)因素，而這次釣魚活動(dòng)也將在我們按下刪除鍵的同時(shí)宣告破產(chǎn)。

然而更進(jìn)一步來講，無數(shù)真實(shí)案例已經(jīng)證明，有針對性的釣魚行為目前仍然相當(dāng)有效，即使是最具經(jīng)驗(yàn)的安全專家亦有可能被其騙倒。為什么會(huì)這樣?因?yàn)檫@類釣魚郵件由專業(yè)人士所精心設(shè)計(jì)，他們似乎了解目標(biāo)受害者的業(yè)務(wù)內(nèi)容、當(dāng)前工作項(xiàng)目以及感興趣的方向。他們不會(huì)用中獎(jiǎng)通知或者獎(jiǎng)品發(fā)放之類拙劣的手段達(dá)成目標(biāo)。事實(shí)上，如今的網(wǎng)絡(luò)釣魚在效果設(shè)計(jì)上已經(jīng)不再限于簡單的經(jīng)濟(jì)詐騙。

在今天的文章中，我們將分步了解目前最為先進(jìn)的網(wǎng)絡(luò)釣魚活動(dòng)，并分析我們該如何避免墜入由其精心布置的陷阱。

攻擊活動(dòng)由專業(yè)犯罪分子精心布置

從傳統(tǒng)角度講，網(wǎng)絡(luò)釣魚郵件一般是由那些技術(shù)水平不高、寄希望于老套惡意手段的低端騙徒所制作：這類群體往往會(huì)隨意接著出一封草率的郵件，其內(nèi)容有時(shí)候甚至愚蠢到令人無法直視。但從實(shí)際層面來講，這種釣魚嘗試也有自己的一套理論，畢竟只有那些會(huì)被這種低劣手段騙倒的對象，才有可能會(huì)在后續(xù)欺詐過程中遭受更加嚴(yán)重的損失。

不過網(wǎng)絡(luò)釣魚活動(dòng)目前已經(jīng)開始出現(xiàn)轉(zhuǎn)變。相當(dāng)一部分專業(yè)犯罪分子以及有組織的犯罪集團(tuán)意識到發(fā)送高質(zhì)量的釣魚郵件能夠獲得相當(dāng)可觀的經(jīng)濟(jì)收益。由Brian Krebs撰寫的2015年暢銷書《垃圾王國》就追蹤了來自俄羅斯的多個(gè)專業(yè)犯罪團(tuán)伙的崛起之路，這幫家伙每年能夠獲得數(shù)千萬美元收益，并受到多家大型企業(yè)的支持——其中部分企業(yè)甚至以合法的身份在證券交易所掛牌上市。

而接下來各國政府也開始參與其中，他們意識到只要能夠瞄準(zhǔn)合適的攻擊對象，那么其經(jīng)過精心偽裝的郵件將能夠幫助其輕松繞開固若金湯的安全防御體系。就目前而言，大部分高級持續(xù)性威脅(簡稱APT)都是通過發(fā)送電子郵件而在受害組織機(jī)構(gòu)當(dāng)中獲得初步立足點(diǎn)的。

今天的專業(yè)互聯(lián)網(wǎng)犯罪分子們也過著朝九晚五的正常生活，他們按時(shí)繳稅并享受輕松的周末與法定節(jié)假日。他們所效力的企業(yè)通常擁有數(shù)十到數(shù)百名員工，向當(dāng)?shù)貓?zhí)法部門及政客行賄，并常常被視為所在地區(qū)的理想就業(yè)選項(xiàng)。而且在為這類公司工作時(shí)，攻擊他國目標(biāo)的行為往往被自豪地打上“愛國”的標(biāo)簽。

這些專業(yè)黑客們采用相當(dāng)正規(guī)的工作方式。其擁有由領(lǐng)導(dǎo)層帶隊(duì)的市場營銷渠道，旨在尋找那些愿意出錢竊取特定企業(yè)有價(jià)值信息的客戶。當(dāng)然，他們也會(huì)定期自主攻擊任意受害企業(yè)，并將由此獲取到的信息作為商品在市場上兜售。

而研究與監(jiān)測小組則負(fù)責(zé)收集與目標(biāo)公司相關(guān)的組織結(jié)構(gòu)、業(yè)務(wù)伙伴、可訪問服務(wù)器、軟件版本以及當(dāng)前項(xiàng)目等重要信息。通過訪問目標(biāo)企業(yè)的公眾網(wǎng)站并著眼于其防御手段相對薄弱的合作伙伴，黑客們能夠較為輕松地獲取到上述籌備信息。

上述調(diào)查結(jié)果將被交付至初步攻擊團(tuán)隊(duì)，并由后者在目標(biāo)組織內(nèi)部建立入侵著陸點(diǎn)。該團(tuán)隊(duì)正是整個(gè)犯罪體系當(dāng)中最為重要的組成部分，其通常被劃分為幾個(gè)技術(shù)水平較高的分組，每個(gè)分組專注于突破特定領(lǐng)域：包括入侵服務(wù)器、發(fā)動(dòng)客戶端攻擊、執(zhí)行社交工程攻擊或者實(shí)施網(wǎng)絡(luò)釣魚攻擊。而網(wǎng)絡(luò)釣魚團(tuán)隊(duì)將與調(diào)查團(tuán)隊(duì)聯(lián)手，通過配合制定與受害者當(dāng)前項(xiàng)目及業(yè)務(wù)議題相關(guān)的電子郵件模板。

當(dāng)然，還有其它一些團(tuán)隊(duì)與之進(jìn)行配合。后門團(tuán)隊(duì)在初步入侵完成后跟進(jìn)，旨在通過植入后門木馬、創(chuàng)建新用戶賬戶以及在受害組織內(nèi)部收集登錄憑據(jù)等方式確保自身繼續(xù)保持對目標(biāo)的后續(xù)入侵能力。

接下來，與任何一家出色的咨詢服務(wù)公司一樣，攻擊方會(huì)派遣一支長期團(tuán)隊(duì)專門應(yīng)對該“客戶”。這支隊(duì)伍駐扎在受害者內(nèi)部獲取重要信息以及與組織結(jié)構(gòu)及VIP相關(guān)的細(xì)節(jié)內(nèi)容。他們能夠在很短時(shí)間內(nèi)摸清目標(biāo)企業(yè)的現(xiàn)有防御系統(tǒng)特性，并了解如何加以回避。當(dāng)有新型項(xiàng)目或者大規(guī)模數(shù)據(jù)上線時(shí)，該團(tuán)隊(duì)會(huì)首先了解到相關(guān)情況。任何可能有價(jià)值的信息都會(huì)被復(fù)制下來并加以保管，這就做好了其今后進(jìn)行批量銷售的基礎(chǔ)準(zhǔn)備。

很明顯，這一切都與以往那些由腳本小子們在網(wǎng)吧里弄出來的邋遢釣魚郵件完全不同，正因?yàn)槿绱巳缃竦尼烎~攻擊更加富有成效。這些郵件的制造者擁有流水線級別的組織體系，而且他們也得通過面試，領(lǐng)取正規(guī)的薪酬、福利以及項(xiàng)目獎(jiǎng)金。另外，惡意組織甚至還要求成員簽訂保密協(xié)議，并擁有專門的人力資源管理團(tuán)隊(duì)以及各部門間政治協(xié)調(diào)等機(jī)制。

所以千萬不要掉以輕心：釣魚郵件已然實(shí)現(xiàn)了專業(yè)化轉(zhuǎn)型。

攻擊可能源自我們認(rèn)識的人

如今的網(wǎng)絡(luò)釣魚郵件往往是由那些我們平日里能夠接觸到的人們所發(fā)出，而非什么“尼日利亞王子”。具體來講，釣魚郵件發(fā)送者可能顯示為我們的頂頭上司、團(tuán)隊(duì)領(lǐng)導(dǎo)或者其他一些權(quán)威管理者，也只有這樣惡意人士才能確保受害者打開電子郵件，并依照郵件中的具體內(nèi)容行事。

這些郵件可能源自外部，并通過偽裝讓受害者誤以為其來自某位企業(yè)高管的個(gè)人郵箱賬戶。畢竟我們每個(gè)人在日常工作當(dāng)中，都或多或少收到過某位同事不小心使用自己個(gè)人郵箱賬戶發(fā)出的工作信件。所以在面對這種普遍存在的失誤時(shí)，我們一般不會(huì)聯(lián)想至其屬于攻擊活動(dòng)的重要組成部分。

這類郵件可能會(huì)來自某個(gè)我們耳熟能詳?shù)闹髁鞴娻]件服務(wù)器(例如Hotmail或者Gmail等等)，而發(fā)件人會(huì)自稱其之所以使用這個(gè)此前未見的賬戶，是因?yàn)槠鋾簳r(shí)無法順利登錄自己的工作郵箱——同樣的，我們也都遇到過這類狀況，對吧?

不過在相當(dāng)一部分情況之下，這些偽造的釣魚郵件確實(shí)來自其他同事的真實(shí)工作郵箱地址——這可能是因?yàn)獒烎~攻擊組織已經(jīng)能夠從外部成功偽造郵件的原始地址，也有可能是其已經(jīng)順利獲取到了員工的個(gè)人郵箱賬戶。而后者是目前較為常見的一種攻擊方式——畢竟咱們普通員工肯定會(huì)認(rèn)真查看老板發(fā)來的郵件，而在點(diǎn)擊鼠標(biāo)的一剎那、大家已經(jīng)中招了。

攻擊中涉及我們當(dāng)前正在進(jìn)行的項(xiàng)目

很多網(wǎng)絡(luò)釣魚受害者之所以踏入陷阱，是因?yàn)楣粽咚坪醮_切了解他們當(dāng)前正在處理的工作內(nèi)容。這是因?yàn)榫W(wǎng)絡(luò)釣魚者們已經(jīng)用了很長時(shí)間來進(jìn)行研究，或者已經(jīng)控制了某些企業(yè)同事們的郵箱及郵件內(nèi)容?？偠灾烎~郵件中可能包含“此為你一直在申請的XYZ報(bào)告”或者“我將你發(fā)來的報(bào)告進(jìn)行了整理，結(jié)果如下”等極具誤導(dǎo)性的標(biāo)題，而郵件還有著發(fā)送者添加的報(bào)告副本鏈接——不過請當(dāng)心，其已經(jīng)被替換成了會(huì)自動(dòng)執(zhí)行的惡意鏈接。另外，釣魚郵件中還可能探討某個(gè)項(xiàng)目的可行性，例如提問“你認(rèn)為這些因素是否會(huì)對我們的項(xiàng)目造成影響?”或者“其它企業(yè)已經(jīng)搶先一步實(shí)現(xiàn)了同樣的功能!”，而接下來仍然是被偽裝成該項(xiàng)目相關(guān)報(bào)道文章的惡意鏈接。

我曾經(jīng)發(fā)現(xiàn)過某些釣魚郵件號稱由律師發(fā)出，旨在征集個(gè)人意見以支持兒童在父母離婚案件當(dāng)中的影響能力。我還見過一些釣魚郵件發(fā)自某些專業(yè)機(jī)構(gòu)的領(lǐng)導(dǎo)者，且直接面向其下屬的團(tuán)隊(duì)成員。另外，還有一些由企業(yè)高管人士發(fā)出的釣魚郵件宣稱目前存在尚未解決的訴訟案件，要求接收者對對應(yīng)的高度機(jī)密PDF文件進(jìn)行“解鎖”。除此之外，我甚至見過一些偽裝成由安全專家發(fā)出的釣魚郵件，其中指出郵件內(nèi)包含的是接收者最近剛剛購買并安裝的某款產(chǎn)品的最新安全更新，要求目標(biāo)受眾盡快進(jìn)行查看。

這些釣魚郵件的標(biāo)題與主體內(nèi)容已經(jīng)不再是過去那種老套的“快來看!”。不，如今的釣魚郵件往往來自我們認(rèn)識的人且包含準(zhǔn)確的生活及工作相關(guān)信息，而這一切都極大提高了其可信度。在了解到這一切后，我們真的希望能夠回到過去——回到那個(gè)惡意郵件內(nèi)充斥著親屬虛假身故消息與偉哥廣告的時(shí)代。

攻擊者已經(jīng)在不斷監(jiān)視我們的企業(yè)郵件

最近一段時(shí)間，有組織的攻擊者們開始對企業(yè)中的大量郵件賬戶進(jìn)行持續(xù)監(jiān)視。通過這種方式，他們得以獲取到必要的背景信息，從而更加順利地愚弄企業(yè)員工并了解到那些最敏感且最具價(jià)值信息的來源、傳遞方式及保存位置。

如果大家發(fā)現(xiàn)自己所在的企業(yè)已經(jīng)遭到侵入，那么請首先假設(shè)所有高管成員以及VIP郵箱賬戶都已經(jīng)被突破，且受到了長時(shí)間的監(jiān)視。甚至針對惡意人士的初步檢測報(bào)告也有可能已經(jīng)被他們所發(fā)現(xiàn)——總而言之，假定他們已經(jīng)掌握了我們所擁有的一切信息。

當(dāng)面對這種對手時(shí)，惟一的解決方案就是建立起一套“徹底獨(dú)立出去”的網(wǎng)絡(luò)體系，其中包括全新計(jì)算機(jī)以及新的郵件賬戶。除此之外，任何抵抗工作都可能是在浪費(fèi)時(shí)間。

攻擊者能夠根據(jù)需要攔截并篡改電子郵件內(nèi)容

如今我們的對手已經(jīng)不再只是被動(dòng)的信息獲取者。他們在必要情況下，甚至有能力攔截并篡改電子郵件的具體內(nèi)容——雖然只能在一定程度進(jìn)行篡改，但已經(jīng)非?？膳?。有時(shí)候他們能夠?qū)⑧]件中的肯定意見修改為否定，或者將否定意見修改為肯定。此外，他們能夠添加更多收件人，對郵件分組進(jìn)行調(diào)整，甚至關(guān)閉信息加密以及簽名機(jī)制。

根據(jù)我的經(jīng)歷，最臭名昭著的實(shí)例之一就是某家公司已經(jīng)意識到其受到高級持續(xù)性威脅的嚴(yán)重入侵。在某次嘗試光復(fù)網(wǎng)絡(luò)環(huán)境的行動(dòng)當(dāng)中，其幫助臺(tái)發(fā)送了一封電子郵件，要求每位收件人對其密碼內(nèi)容進(jìn)行修復(fù)。當(dāng)然，這肯定會(huì)增加惡意入侵者的登錄難度——除非其已經(jīng)控制了幫助臺(tái)自身的電子郵箱賬戶。在發(fā)送這封電子郵件之前，入侵者修改了其中的嵌入式鏈接，從而使其獲取到了來自用戶密碼內(nèi)容的副本——換言之，一輪密碼變更導(dǎo)致公司上下的所有賬戶都被入侵者所掌控。是的，用戶們積極遵循著“幫助”臺(tái)的指引，但卻反而讓入侵者捕捉到了每條變更密碼的具體內(nèi)容。

攻擊者利用定制化或者內(nèi)置工具破壞殺毒軟件

過去幾十年來，釣魚郵件一直利用常見的惡意工具作為輔助手段。然而如今惡意人士開始采用定制化工具來偽造并加密自己的邪惡意圖，或者將程序內(nèi)置在受害者所使用的操作系統(tǒng)當(dāng)中。由此帶來的結(jié)果非常明顯：我們的反惡意掃描工具無法檢測到這些惡意文件或者命令。而當(dāng)犯罪團(tuán)伙入侵到我們的網(wǎng)絡(luò)內(nèi)部之后，他們也會(huì)非常謹(jǐn)慎地利用同樣的方式進(jìn)一步完成滲透。

利用受害者內(nèi)置腳本語言(例如PowerShell以及PHP等等)編寫而成的惡意腳本已經(jīng)快速成為攻擊者們的首選方案之一。PowerShell甚至直接出現(xiàn)在了惡意軟件工具包當(dāng)中，這最終使得純PowerShell型惡意程序成為可能。

而進(jìn)一步助長這類趨勢的現(xiàn)實(shí)情況在于，我們很難利用反惡意軟件甚至是司法取證方式來檢測某款合法工具是否被用于實(shí)現(xiàn)邪惡意圖。舉例來說，遠(yuǎn)程桌面協(xié)議(簡稱RDP)連接就是非常典型的代表。幾乎每一位管理員都會(huì)使用這項(xiàng)協(xié)議，惡意人士也是同樣。在這種情況下，我們將很難證實(shí)特定遠(yuǎn)程桌面協(xié)議連接到底是否在實(shí)施邪惡的勾當(dāng)。不僅如此，我們也幾乎沒辦法在不影響正常員工常用工具的前提下，通過移除合法工具來清理系統(tǒng)并挫敗攻擊者的陰謀。

攻擊者通過軍用級加密技術(shù)對受害者數(shù)據(jù)進(jìn)行傳輸

利用隨機(jī)選定的端口將數(shù)據(jù)從內(nèi)部網(wǎng)絡(luò)中復(fù)制出去的時(shí)代已經(jīng)過去了。同樣的，如今攻擊者們也不再通過常見的保留端口(例如IRC端口6667)以遠(yuǎn)程方式進(jìn)行命令發(fā)送與惡意控制創(chuàng)建。

如今利用SSL/TLS端口443作為惡意程序工作面已經(jīng)成為業(yè)界共識，其同時(shí)還會(huì)配合軍用級別的AES加密機(jī)制。大部分企業(yè)都很難對端口443流量進(jìn)行追蹤，其中相當(dāng)比例甚至壓根不會(huì)嘗試。如今企業(yè)越來越多地利用防火墻以及其它網(wǎng)絡(luò)安全設(shè)備對入侵者的443數(shù)字證書加以替換，從而實(shí)現(xiàn)443流量獲取。不過當(dāng)443流量中的數(shù)據(jù)經(jīng)過了AES加密，那么取證工作將基本宣告失敗。這雖然令人無奈，但卻也是殘酷的現(xiàn)實(shí)。

惡意軟件編寫者對于標(biāo)準(zhǔn)化加密機(jī)制的運(yùn)用可謂爐火純青，甚至連FBI方面都會(huì)直接建議勒索軟件的受害者們直接付款來解決問題。事實(shí)上，如果大家發(fā)現(xiàn)某款惡意程序運(yùn)行在非443端口之上且沒有經(jīng)過AES加密來掩蓋其行蹤，那么其始作俑者很可能只是一位技術(shù)水平低下的腳本小子。另外，即使我們找出了這類安全隱患，其恐怕也已經(jīng)在大家的系統(tǒng)當(dāng)中駐留了相當(dāng)長的一段時(shí)間。

攻擊者會(huì)努力掩蓋自己的行蹤

直到幾年之前，大多數(shù)企業(yè)還完全不必對自己的日志文件太過重視，或者說即使進(jìn)行處理，他們也不會(huì)進(jìn)行刻意收集并對其中的可疑事件發(fā)出警告。不過時(shí)代已經(jīng)不同，如今IT防御者們?nèi)绻麤]能啟用日志檢查并將其納入日常工作，那么將被視為一種嚴(yán)重的失職。

惡意人士能夠利用各類技術(shù)，例如命令行與腳本命令，對日志記錄加以應(yīng)對，從而顯著降低其被事件日志記錄工具發(fā)現(xiàn)的可能性。其甚至有可能直接在肆虐之后將日志文件全部刪除。一部分水平高超的攻擊者還會(huì)利用工具包程序，從而通過對操作系統(tǒng)的惡意篡改來跳過包含其惡意工具執(zhí)行痕跡的一切實(shí)例。

攻擊者已經(jīng)在我們的環(huán)境當(dāng)中潛伏多年

專業(yè)犯罪團(tuán)伙潛伏在受害者網(wǎng)絡(luò)內(nèi)部的平均時(shí)間——也就是從入侵成功到被發(fā)現(xiàn)的時(shí)長——通常為數(shù)個(gè)月甚至數(shù)年。我接觸過的一些企業(yè)就面臨著這樣的狀況，其內(nèi)部環(huán)境已經(jīng)遭到多個(gè)犯罪組織的侵入，而潛伏期最長的一個(gè)已經(jīng)在這里游蕩了八年。

根據(jù)權(quán)威性極高的《Verizon數(shù)據(jù)泄露調(diào)查報(bào)告》所言，大部分內(nèi)部數(shù)據(jù)泄露事故都是由外部合作方首先發(fā)現(xiàn)的。在大多數(shù)情況下，這是因?yàn)橥獠亢献鞣阶陨硪惨呀?jīng)遭到到多年入侵，而在其取證調(diào)查過程中發(fā)現(xiàn)其數(shù)據(jù)、攻擊者位置或者中繼點(diǎn)來源于另一家公司。

我曾經(jīng)向多位客戶提供過咨詢服務(wù)，他們紛紛表示惡意人士已經(jīng)在其網(wǎng)絡(luò)內(nèi)部肆虐多年，甚至惡意軟件的植入已經(jīng)成為該公司習(xí)以為常的狀況——每一臺(tái)新計(jì)算機(jī)在引入后都會(huì)瞬間染上惡意軟件。我還見過一些木馬以及惡意程序多年來一直隨意傳播，因?yàn)镮T人員始終認(rèn)為其屬于組織內(nèi)部某些部門的必要軟件組件。好吧，這種愚蠢的假設(shè)肯定是黑客們的最愛。

攻擊者根本不怕東窗事發(fā)

曾幾何時(shí)，釣魚攻擊者會(huì)快速潛入我們的企業(yè)，竊取資金或者重要信息，而后立刻人間蒸發(fā)。快進(jìn)、快出，盡可能縮短作案時(shí)間，這意味著其被捕獲、識別以及起訴的可能性也會(huì)被降至最低。

如今的攻擊者往往身處國外，在那里我們的法律管轄權(quán)以及定罪權(quán)全部無法生效。我們甚至可以利用法律證據(jù)來揪出黑客犯罪團(tuán)伙、其中的成員乃至他們活動(dòng)的物理位置——但也就這樣了，我們的執(zhí)法權(quán)對他們根本不起作用。

在過去十年我所經(jīng)歷過的大多數(shù)攻擊活動(dòng)當(dāng)中，黑客們即使被發(fā)現(xiàn)了也不會(huì)掙扎逃脫。當(dāng)然，他們會(huì)盡量避免自己被抓獲，但一旦東窗事發(fā)，他們只會(huì)更公然、更囂張地組織入侵——我們的現(xiàn)有制裁手段在他們面前真的非常無力。

時(shí)至今日，在這場貓鼠游戲當(dāng)中，老鼠一方已經(jīng)徹底了全部主動(dòng)權(quán)。起初我們意識不到他們的侵入活動(dòng)，也不清楚他們能夠以多少種方式實(shí)現(xiàn)突破——畢竟安全事故的源頭很可能只是某位員工不小心打開了惡意郵件。而最終，即使我們掌握了一切證據(jù)，仍有很大機(jī)率只能自認(rèn)倒霉。

我們能夠做些什么

防范工作需要先以培訓(xùn)起步，即教育員工關(guān)于網(wǎng)絡(luò)釣魚攻擊的最新現(xiàn)實(shí)情況。相信每個(gè)人都已經(jīng)了解到那種充斥著大量拼寫錯(cuò)誤以及不切實(shí)際的獎(jiǎng)勵(lì)承諾的老套釣魚郵件，但現(xiàn)在這已經(jīng)不再是我們的關(guān)注重點(diǎn)。我們要向員工解釋新型釣魚郵件的精妙之處，告訴他們專業(yè)犯罪團(tuán)伙很清楚該如何調(diào)整自己的攻擊手段，從而讓惡意郵件看起來就像由同事等受信對象發(fā)來的合法信息一樣。

接下來，員工應(yīng)當(dāng)意識到在其點(diǎn)擊并運(yùn)行郵件內(nèi)可執(zhí)行文件或者打開任何未知文檔之前，必須首先進(jìn)行單獨(dú)確認(rèn)(例如通過電話或者即時(shí)通信機(jī)制)。如今快速確認(rèn)已經(jīng)應(yīng)該成為盡職性調(diào)查的必要組成部分。另外，提醒員工在發(fā)現(xiàn)任何可疑狀況時(shí)及時(shí)匯報(bào)。如果他們不小心做出了任何事后看起來較為可疑的操作，那么也需要馬上向技術(shù)部門發(fā)出通知。最重要的就是從心理層面消除員工在被愚弄之后產(chǎn)生的恥辱感與尷尬心態(tài)。要讓他們知道，任何人——包括經(jīng)驗(yàn)豐富的安全專家——都有可能被欺騙，這一切都要?dú)w結(jié)于當(dāng)下極端復(fù)雜的攻擊手段。

很多企業(yè)正在積極通過模擬網(wǎng)絡(luò)釣魚對員工的應(yīng)對能力進(jìn)行測試。不過需要提醒各位的是，這些測試應(yīng)該盡量使用復(fù)雜度更高的郵件模板，而非過去那樣拙劣不堪的老套路。另外，我們還需要對個(gè)別員工進(jìn)行針對性測試，從而將易受愚弄的員工比例控制在較低水平。通過這種方式，員工將能夠在面對任何要求其提供登錄憑證或者程序執(zhí)行權(quán)限時(shí)首先向技術(shù)部門詢問。總而言之，讓員工在面對合法郵件時(shí)也保持懷疑的態(tài)度將標(biāo)志著我們的培訓(xùn)已經(jīng)取得了喜人的進(jìn)度。

最后，如果已經(jīng)有網(wǎng)絡(luò)釣魚攻擊在企業(yè)內(nèi)部成功起效，那么請利用該釣魚郵件以及受害員工的證詞(如果他們值得信任且愿意作證的話)來幫助其他企業(yè)更深刻地理解當(dāng)下的網(wǎng)絡(luò)釣魚環(huán)境。任何能夠帶來新啟示以及新經(jīng)驗(yàn)的經(jīng)歷都值得在各行業(yè)當(dāng)中廣泛共享。

總結(jié)起來，要想真正抵御住日益演進(jìn)的入侵行為，我們必須讓企業(yè)中的每位成員意識到如今的網(wǎng)絡(luò)釣魚郵件在表現(xiàn)形式上已經(jīng)完全不同于以往。與時(shí)俱進(jìn)、緊跟形勢，這才是最理想的攻擊應(yīng)對之道。

原文標(biāo)題：10 reasons why phishing attacks are nastier than ever