守内安：年关将至，我们盘点了23年常见的“鱼饵”类型

邮箱网 0条评论 538次浏览 2023年12月21日星期四 16:22

分享到：更多

年关将至，各行各业都忙于完成业绩指标，当然黑客也不例外。随着发年终奖、红包、退税申报等时间临近，钓鱼邮件和网络诈骗事件再次高发。黑客们利用员工对年终奖、红包等金钱的关注和兴奋，伪装成公司HR或财务部，大量散发包含恶意附件或链接的钓鱼邮件，吸引员工点击。一旦中招，极有可能导致公司的网络安全遭受侵害，造成数据泄露等严重后果。

近期我们检测到，假冒年终奖、退税申报的钓鱼邮件数量激增。这类邮件通过制造时间紧迫感，并故意在标题和内容中透露部分真实信息，让人真假难辨。企业内部邮件常被网络钓鱼盯上,就是因为我们对来自公司内部的信息存有信任。而黑客则利用这点，伪装成公司领导或同事朋友,发送钓鱼邮件。

目前钓鱼邮件大致可以分为两类：

一种是包含恶意链接，诱导你填入敏感信息。

一种是包含恶意附件，为你送上病毒、木马等恶意程序大礼包。

由这2大类又演化出了种类繁杂的钓鱼邮件，如自动幻化各类官方网站的钓鱼网站、利用0day对于浏览器或操作系统漏洞的攻击，诱导下载木马、病毒附件的“大礼包”更有甚者无需点开附件，仅仅预览也会中招。以上种种不胜枚举，令人防不胜防！

包含恶意链接的邮件

这类邮件通过在正文插入恶意链接，或二维码图片，配合煞有其事的文案，制造真实的场景诱导点击，一旦员工点击,极有可能导致敏感信息泄露，更严重则可能导致设备被植入木马程序而被勒索。除了植入木马病毒，有些邮件还可能宣称“点击链接申领”,或直接引导“扫码”而最终链接则指向一个包含金融付款扫码诈骗的页面。最终造成个人金钱财产造成巨大损失！

（二维码指向钓鱼页面）

外贸企业常见的订单，报价单，发票这三要素，是黑客们最常用也是最常见的钓鱼内容，邮件常常煞有其事的让你查看链接或附件。↓

（正文直接包含恶意链接）

有文化的黑客还会使用双语编写钓鱼邮件，这样的邮件如果遇到外贸行业的你，收到是否会抱着好奇的心里点击链接？↓

（多语言正文直接包含恶意链接 — 图源网络侵删）

企业员工和各种官方推广邮件常被网络钓鱼盯上,就是因为我们对来自熟悉的公司与公司内部的信息存有信任。而黑客则利用这点，伪装成各种李鬼。很多恶意链接点击后会跳转到被精心伪装过的钓鱼网页。以进一步骗取个人敏感信息。↓

（各种头部企业信手拈来）

（精心伪造的李鬼网站）

通过在正文中加入二维码，来躲避传统垃圾钓鱼邮件的检测机制。↓

（正文中带有钓鱼二维码）

文件链接采用ACE prefix或 IP 地址采用八字节十六进制，躲避系统扫描链接。↓

（文件链接采用ACE prefix或 IP 地址采用八字节十六进制）

当下恶意链接的形式也在推陈出新，从一开始拙劣的正文包含，到精心美化，从文件中包含二维码图片，再到附件中包含二维码，钓鱼邮件与邮件安全产品时刻上演着“矛与盾”的对决。

包含恶意附件的邮件

将二维码以附件的形式植入邮件，这样正文中就不携带任何威胁信息。此方式也是躲避传统防病毒机制的最常见的手法之一。↓

（钓鱼二维码图片以附件形式携带）

除常见的二维码附件形式以外，另一类则通过Word、Excel、PPT等office文件或压缩文件的附件来发布木马程序。钓鱼邮件会声称这些文件中包含了密码、年终奖明细等,引诱员工下载并打开。一旦启用宏,木马程序即被植入并运行。↓

（带毒ppt文件）

（带毒Excel附件）

（带毒Excel文件）

通过压缩附件来躲避传统查杀，也是常见规避邮件网关的方式之一。↓

（压缩带毒附件）

今年一季度，安全漏洞CVE-2023-23397 可利用 Outlook 的日历提醒功能来窃取受害者的 Net-NTLMv2 哈希。黑客发送利用此漏洞的恶意邮件后，Outlook 客户端只要接收并处理邮件，即便使用者没有开启或浏览这封恶意邮件，都会自动触发该漏洞并泄漏 Net-NTLMv2 哈希。↓