尼日利亚王子电邮一类的东西不值一提

今时今日的针对性网络钓鱼之复杂，甚至连最有经验的安全专家也会上当

网络钓鱼电子邮件几十年以来一直是计算机世界的祸害，尽管我们做了最大的努力对其进行打击，努力却没有什么成效。我们大多数人一看电邮的主题就知道是钓鱼电邮，会将其删除，不会打开它。有时候我们不能完全确定是不是钓鱼电邮，打开后也会即刻从内容上知道发邮者是在钓鱼，这种邮件的特点是称呼非常正式、外国血统、拼写错误以及非常卖力地想送给我们几百万不劳而获的美金或是向我们兜售疑点重重的产品。在大多数情况下，这种网络钓鱼之举威胁颇小，我们用删除键就解决了。

现在来看看针对性钓鱼(Spearphishing)：针对性的钓鱼法行之有效，甚至可以对付最有经验的安全专家。为什么呢？因为这些钓鱼法是出自专业人士之手，他们似乎了解你的生意、你目前的项目、你的兴趣等等。他们不会试图向你推销任何东西，或自称可以送钱给别人。事实上，时下的针对性钓鱼的目的往往要比简单的盗窃金钱险恶得多。

下面我们就来看看当今最先进的针对性钓鱼个各类招数——以及如何防止自己误中他人的高招。

　　招招出自专业罪犯之手

传统上，网络钓鱼邮件出自一些下三路的骗子，他们采取的办法是广撒网：草草的一个信息，然后大肆发放垃圾邮件。总归有人上当。事实上，网络钓鱼的意图越明显越好，原因是这样可以确保抓住的是最容易上当的糊涂蛋。

一路走来，套数变了。专业犯罪分子和有组织犯罪团伙开始意识到，发些更像样的垃圾邮件可以捞到不少钱。布赖恩·克雷布斯(Brian Krebs)2015年的畅销书《垃圾邮件国度》跟踪了专业犯罪团伙在俄罗斯的兴起，这些团伙每年进账数百万美元，支撑着多个大公司，其中一些公司披着合法的外衣，其股票可以在证券交易所买进卖出。

一些主权国家也加入了这个游戏，他们意识到精心制作的电子邮件可以帮助他们绕过最坚固的防御，要做的是瞄对员工。今天的绝大多数高级持续性威胁(APT)都是通过发几封电子邮件到公司内部的受害者而找到最初的落脚点。

现在的专业网络犯罪分子每天朝9晚5上班、缴税、周末和节假日不上班。他们工作的公司往往有几十名到几百名员工，公司会贿赂当地执法部门和政治家，公司也往往被视为其所在地区的首选雇主。这些公司为的就是攻入其他国家的企业，在这种公司工作常常像戴着一枚爱国徽章一样值得自豪。

这些专业黑客作坊雇了一队队的劳动力。营销团队往往是由高管负责，找愿意付钱攻取一个特定公司的信息的客户，通常这些公司也会按要求攻击任何一家公司，然后将所得信息作营销用。

而研究和监测小组则负责收集有关目标公司的组织结构、业务合作伙伴、可从网络访问的服务器、软件版本和当前项目的信息。他们通过访问目标公司的公共网站以及闯入相关公司的一些保护较弱的商业合作伙伴获得大部分的信息。

所获取的信息会交给一个初步攻击人员团队，他们从目标组织内部建立锚点。该团队是专业黑客作坊里最重要的团队，它又被分成几个技术小组，每个小组重点负责一个特定的领域：攻入服务器、启动客户端攻击、进行社会工程攻击或展开针对性钓鱼。针对性钓鱼小组与研究小组紧密配合，他们会和设计电子邮件模板的人员一起将各类相关的议题和项目混合起来。

另外还有其他团队。建立了初始入口后，后门团队接手，确保以后可以方便进入，他们会植入木马后门、创建新的用户帐户以及清理受感染的组织中所有的登录资料。

还有，和所有上等的咨询公司一样，会有一个长期团队专门负责该“客户”。该团队的作用是四处寻找详细介绍组织结构和组织主要人士的重要信息。在很短时间内，他们就会知道公司建立的每一个防御体系以及如何绕过它。当一个新的项目或大量数据上线时，该团队就会第一时间知道。任何有潜在力的信息都会被复制保管起来，以备在以后销售时派上用场。

过去我们听说的大凡是一个编程毛孩子在网吧草草地写个电子邮件，现在不一样了，这也就是为什么今天的钓鱼攻击效率要高得多。现在这些事就是一份全职工作，要在面试过关斩将才会被雇佣，工资、福利和项目奖金一应俱全。甚至还要签保密协议，也有HR麻烦和部门政治。

可别搞错了：钓鱼邮件专业化了。

(责任编辑：安博涛)