攻击是熟人发送的

今天的针对性钓鱼邮件往往来自一个熟人，你基本上每天都和Ta交换邮件，针对性钓鱼邮件不是来自尼日利亚王子。这些邮件经常看上去是老板、团队负责人或其他管理层的权威人物发的，以确保受害者会打开电子邮件，而且还可能会照邮件所说的去做。

这些电子邮件也可能来自外面的、相似的电邮账户，目的是要和权威人士的个人电子邮件帐户相似。谁没有收到过同事不小心用自己的个人账户发的与工作有关的电子邮件呢？我们都知道这种错误时有发生。

这种电邮也可能来自与流行公共电子邮件服务器(Hotmail、Gmail等等)相似的账户，发送者自称现在用这个以前没用过的帐户，因为他们的工作电子邮件被锁住没法用了。还是那句话，谁没经历过这种事呢？

但最可能的是，假冒钓鱼邮件看起来是来自其他人真正的工作电子邮件地址，有两个可能的原因，一是因为网络钓鱼组织能够从外部发送虚假的工作电子邮件地址，或是因为网络钓鱼组织已经成功地攻破对方的电子邮件帐户。后者已经成了流行的攻击方式，谁会不去点击老板发来的链接呢？

　　攻击包括你正在做的一个项目

许多针对性钓鱼受害者坠入陷阱是因为发送者似乎知道他们目前正在做什么项目。原因是这些发起针对性钓鱼的人在这上面花过时间，或是他们已经控制一个同事的电子邮件帐户有一段时间了。电子邮件可能包括一个诸如“这是你正等着收取的某某项目的报告”或“这是我对你发来的报告的修改”的主题，电邮还有一份最初由接收方发送的附加副本，不过里面加了个新的、自动运行的恶意链接。主题也有可能会提到一个项目的可行性，诸如“你觉得这会影响到我们的项目？”的问题或诸如“有人击败了我们!”的感叹，邮件里则会有一个链接，指向似乎与项目相关的恶意新闻文章。

笔者见过声称是来自律师的邮件，说是要求增加某个正在办离婚的人的子女抚养费。笔者也见过专业组织领导人发给全部组织成员的钓鱼邮件。我也见过发给C级官员的电子邮件，声称手里拥有正在打官司的案件信息，电邮要求接收者运行可执行文件对附件里的保密PDF文件“解锁”。我见过发给IT安全专家的虚假更新，声称电邮含来自供应商提供的安全更新，是给他们最近购买和安装的一个产品用的。

电子邮件的主题和正文内容现在已经不是“看看这个!”一类的东西。现在不一样了，针对性钓鱼电子邮件来自你信任的、你正在做的一个项目里的人。阁下在读了这么多以后，怕是巴不得收到的电邮是有关假的亲人病危消息和伟哥广告，收到此类电邮毕竟不是那么令人担心。

　　你的攻击者一直在监视你公司的电子邮件

今时今日，公司攻击者无时不在监控着你公司的几十个电子邮件帐户。他们这样做是为了获取用来欺骗你同事的资料，并且获取你的公司里最敏感和最有价值的信息。

如果你发现公司已经被侵入，那就要假定所有C级员工和VIP电子邮件帐户已经被攻陷，而且要假定已经有很长一段时间是这样了。甚至一开始的发现坏蛋的报告都有可能被坏蛋读到。他们知道你知道什么。

面对这种对手，唯一的解决方案是用一个完全“带外”(Out of band)的网络，包括全新的电脑和新的电子邮件帐户。用别的方法可能只是浪费时间。

　　你的攻击者可以拦截电邮并根据需要更改电邮

今天的对手不只是被动地读电邮。他们可以拦截电邮并且在有需要时修改电邮，尽管改得不多。批准的决定可能会改成不批准；不批准的决定可能改成批准。有时，重要的接收者会从电子邮件的接收者列表中被删除。可能会加进几个接收者。电子邮件群可能被修改。加密和签名可能被关闭。

在笔者读到过的最糟糕的例子之一里出现如下情况，这个公司知道遭受严重APT破坏。为了重新收回网络，网络管理发了一封电子邮件，要求所有收件人更改密码。网络管理当然认为，这样做可以使恶意入侵者待不下去——只不过入侵者已经控制了网络管理的电子邮件帐户。就在电子邮件被发出的那一刻，入侵者修改了嵌入的链接，修改密码的人点击链接后就会来到一个和公司修改密码页面一模一样的网站，而这个网站是由入侵者的控制的。用户遵从网管的指令，而这样做以后却使得入侵者能够得到所有更改后的密码。

　　攻击者使用定制工具或内置工具破坏杀毒软件

数十年以来，钓鱼邮件的附件用的是一些日常恶意软件工具。而今时今日，他们使用的是定制工具，特意为你打造并经过加密，他们或是利用内置在操作系统里的程序。结果是一样的：反恶意软件扫不到这些恶意文件或命令。而当坏蛋们出现在你的网络上时，他们也小心地只运行相同的东西。

一些用受害者的内置脚本语言(PowerShell中、PHP等)写的的恶意脚本正在迅速成为首选工具。PowerShell甚至还出现在一些恶意软件工具包里，这些包最终可以制造出仅含PowerShell的恶意程序，网上可以找到这种例子。

另外，现在的反恶意软件甚至刑侦调查都很难确定正当的工具是不是用作很邪恶的目的。这就使得上述的威胁火上加油。就拿远程桌面协议(RDP)连接做例子。几乎每个系统管理员都用RDP。但当坏人也用它时，就可能很难确定什么时候的RDP连接是在干坏事。而且，要挫败攻击者就只能是移除好人也用的合法工具，而好人却是靠这个工具来清理系统。

　　你的攻击者在将你的数据搬回家时用的是军用级加密

以前恶意软件使用随机选的端口来复制你网络上的数据，这种日子已经一去不复返了。同样，使用传统保留端口(如irc端口6667)发送命令和远程控制恶意创作的日子也一去不复返了。

现在的恶意程序用的是SSL/TLS端口443，并使用业界公认的、军方认可的AES加密。大多数公司都管不了443端口的流量，大部分甚至试都不试。各个公司越来越多地使用防火墙和其他网络安全设备作为管理443端口的流量的方法，其做法是用自己的数字证书取代入侵者的443数字证书。但如果443流量中的数据使用AES加密过的，这样做对刑侦调查没有用。得到的都是些没有意义、乱七八糟的东西。

恶意软件编写者使用的加密标准是一流的，连FBI也没办法，只能告诉勒索受害人还是交钱算了。事实上，如果发现有恶意程序在443以外的端口运行而且没有用AES加密掩盖其踪迹，那这个恶意程序可能是出自脚本毛孩子之手。或者是，该恶意程序已经在你的环境待了很长一段时间了，只不过你到现在才发现它。

(责任编辑：安博涛)