陳遠志，陳飛躍，郎 君

（1.公安部第三研究所，上海 200030；2.公安部網(wǎng)絡安全保衛(wèi)局，北京 100010）

0 引 言

隨著互聯(lián)網(wǎng)和信息技術的發(fā)展，電子郵件功能越發(fā)完善并快速普及，成為人們線上工作交流、數(shù)據(jù)傳輸和信息共享的重要介質。然而，自電子郵件問世以來，釣魚郵件攻擊因其成本低、影響范圍廣、誘導性強、攻擊效果好等特點，迅速成為黑客組織和不法分子最為慣用的攻擊手段，黑客利用社會工程學手法，大肆制造發(fā)送虛假仿冒郵件，竊取用戶憑據(jù)、個人信息和商業(yè)機密等敏感數(shù)據(jù)，甚至直接實施攻擊破壞和滲透竊密活動。據(jù)公開資料顯示，全球每天約發(fā)生1.3 億次釣魚郵件攻擊，影響范圍波及約全球一半人口。

本文概述近年來我國境內遭受釣魚郵件攻擊的態(tài)勢情況，梳理分析常見釣魚郵件攻擊方式和技術，研究ChatGPT 人工智能機器人、多片段程序編碼混淆等新型技術對釣魚郵件攻擊的變革作用，并結合攻擊方式和手段，就如何防范應對提出對策建議。文章第一部分介紹釣魚郵件攻擊基本概念和流行的主要原因，根據(jù)公開統(tǒng)計數(shù)據(jù)，分析當前我國境內遭受釣魚郵件攻擊的現(xiàn)狀、態(tài)勢和主要風險點，并闡述近年來釣魚郵件攻擊技術的發(fā)展和演變，同時針對釣魚郵件附件中使用的惡意載荷攻擊技術原理進行分析，最后就如何應對防范提出對策建議。

1 釣魚郵件攻擊

1.1 基本概念

所謂釣魚郵件攻擊，是指攻擊者使用社會工程學手法偽裝身份，向攻擊目標發(fā)送具有誘騙性的電子郵件“誘餌”，利用人們的好奇、貪婪和獵奇等情緒和心理，通過誘導攻擊目標降低戒備心、點擊惡意鏈接或下載含毒文件等方式，實施竊取用戶憑證信息、植入木馬病毒、入侵控制服務器等攻擊活動[1]。釣魚郵件攻擊屬于極為常見的網(wǎng)絡攻擊方式。由于企業(yè)及其員工網(wǎng)絡安全防護意識不足、釣魚攻擊技術隱蔽性提高等原因，普通人群在接收到一封自己感興趣或關心話題的郵件時，難以第一時間發(fā)現(xiàn)和識別其是否具有風險和威脅。一般釣魚郵件攻擊流程如圖1 所示。

圖1 一般釣魚郵件攻擊流程

釣魚郵件攻擊之所以持續(xù)流行，是因為其成本極低且難以防范，區(qū)別于拒絕服務攻擊（Distributed Denial of Service，DDoS）、木馬遠控、僵尸蠕蟲等對服務器的網(wǎng)絡攻擊，釣魚攻擊直接以人作為攻擊對象，利用“人性”的獵奇心理和防備松懈等實施欺詐、誘騙行為，無須大費周章地突破系統(tǒng)防火墻、入侵防御系統(tǒng)（Intrusion Prevention System，IPS）、入侵檢測系統(tǒng)（Itrusion Detection System，IDS）等縱深防御措施[2]，便可輕松獲取賬戶信息或植入惡意程序。

1.2 我國釣魚郵件攻擊態(tài)勢

1.2.1 釣魚郵件攻擊事件高發(fā)

近年來，我國遭遇境內外黑客和不法分子實施釣魚郵件攻擊事件呈高發(fā)態(tài)勢。據(jù)奇安信披露，2022 年我國企業(yè)郵箱用戶共收發(fā)各類電子郵件約7 660 億封。其中，釣魚郵件占比為5.6%，如圖2 所示，數(shù)量相比2021 年保持持續(xù)上升趨勢。除數(shù)量不斷增長外，我國遭受釣魚郵件攻擊事件規(guī)模愈發(fā)龐大，僅2022 年上半年就發(fā)生十余起大型單位及職工遭受釣魚郵件攻擊事件。隨著我國網(wǎng)絡和信息化技術的深度普及，未來釣魚郵件攻擊事件恐將保持高發(fā)態(tài)勢，企業(yè)和個人也將持續(xù)面臨釣魚攻擊風險和威脅。

圖2 近年我國企業(yè)收到釣魚郵件數(shù)量趨勢

1.2.2 重點領域企業(yè)為主要攻擊對象

金融、教育、醫(yī)療、物流、能源等重點領域的大型企業(yè)在我國經濟發(fā)展和社會運行中承擔重要環(huán)節(jié)，其網(wǎng)絡系統(tǒng)存放大量我境內用戶、商業(yè)甚至國家機密數(shù)據(jù)，已成為境內外黑客組織和不法分子釣魚郵件攻擊的主要目標。如圖3所示，2022 年我國遭釣魚攻擊的企業(yè)中，工業(yè)制造企業(yè)占比約24%，其次是交通運輸業(yè)占比12%和教育培訓業(yè)占比約10%。此外，互聯(lián)網(wǎng)、IT信息、醫(yī)療衛(wèi)生、金融以及批發(fā)零售等行業(yè)也遭受一定數(shù)量的釣魚郵件攻擊。其中，位于北京、上海和廣東的企業(yè)遭攻擊數(shù)量排名前三，由此可見，一線城市的大型企業(yè)更易成為釣魚郵件攻擊目標。

圖3 2022 年我國遭釣魚郵件攻擊行業(yè)情況

1.2.3 關鍵基礎設施安全面臨嚴峻威脅

2021 年以來，“綠斑”“蔓靈花”等境外黑客組織長期針對我國政府部門、軍事機構以及醫(yī)療、金融、教育、能源、電力等重要領域關鍵基礎設施實施釣魚郵件攻擊，竊取我國國家安全關鍵部位網(wǎng)絡系統(tǒng)的賬戶和密碼，伺機入侵控制服務器，實施網(wǎng)絡攻擊和滲透竊密活動。2022 年下半年，境外“綠斑”“蔓靈花”等黑客組織向我國境內政府部門、軍事機構發(fā)送釣魚郵件，誘騙相關目標下載并運行遠控木馬程序，以竊取國家和政府機密，嚴重威脅我國網(wǎng)絡安全。

1.3 常見釣魚郵件攻擊類型

在所有釣魚郵件攻擊中，最為古老的是廣撒網(wǎng)式釣魚，通過發(fā)送大量編撰好的虛假郵件或垃圾郵件，不定向隨機攻擊個人郵箱。此類釣魚攻擊沒有具體目標，往往容易被用戶識別和防范。近年來，廣撒網(wǎng)式釣魚逐步減少，針對特定目標的釣魚郵件攻擊則更為常見，主要有以下幾種類型：

（1）魚叉式釣魚郵件攻擊。與廣撒網(wǎng)式釣魚攻擊不同，魚叉式釣魚攻擊以某特定企業(yè)、組織及其員工為目標，通過發(fā)送定制化主題的郵件，誘騙其輸入賬戶密碼、點擊惡意鏈接、下載帶毒文件等，以獲取重要數(shù)據(jù)資料[3]。

（2）鯨釣。攻擊者鎖定政府高官、企業(yè)高管、社會名人等具有較大影響力的人物，冒充其身份向員工或周邊親朋發(fā)送仿冒郵件，內容中通常還會催促收件人盡快提供重要文件或信息，此類釣魚方式“胃口”更大、目標更廣、收效更快，因而被形象地稱為“鯨釣”。

（3）商業(yè)電子郵件欺詐。該類型與鯨釣性質較為相似，但并非直接以政府高官、企業(yè)高管等為目標，而是偽裝成公司領導、用戶同事、合作商等身份，吸引目標用戶注意，利用其本能的職業(yè)順從心理實施誘導、欺騙行為，進而竊取個人信息和資料文件等商業(yè)機密。

2 釣魚郵件攻擊技術發(fā)展

2.1 常規(guī)釣魚郵件技術

2.1.1 仿冒偽造郵件

實現(xiàn)郵件發(fā)送功能使用的SMTP 協(xié)議存在安全漏洞，可隨意修改定制郵件頭參數(shù)，黑客利用該漏洞手動構造body（郵件正文）、header（郵件頭）、from（發(fā)件人）、mail from（真實發(fā)件人）、to（收件人）等字段，利用telnet 等命令直接構造郵件發(fā)送指令，向中轉服務器發(fā)送虛假偽造郵件。此外，為提升偽造真實性，不少攻擊者通過搭建私人服務器或私有云等方式，遠程部署電子郵件服務和相關協(xié)議，偽裝成管理員、領導的姓名、郵箱等，向目標發(fā)送釣魚電子郵件，誘騙竊取憑據(jù)信息?；陔娮余]件傳輸協(xié)議（Simple Mail Transfer Protocol，SMTP） 制造偽造虛假郵件如圖4 所示。

圖4 基于SMTP 協(xié)議制造偽造虛假郵件

2.1.2 惡意鏈接郵件

攻擊者以目標關心或感興趣的內容為主題等構造虛假郵件，如《某網(wǎng)絡系統(tǒng)重要升級通知》《某重要會議邀請函》《某考試要求通知》等，在正文中附帶一條指向惡意內容的鏈接，用戶點擊后將跳轉至仿冒虛假網(wǎng)站、水坑攻擊頁面等有害網(wǎng)站。帶惡意鏈接的釣魚郵件如圖5 所示，黑客偽裝成順豐快遞人員向目標發(fā)送釣魚郵件，以“更新地址”為主題誘導收件人點擊鏈接，該鏈接指向另一個用于收集信息的仿冒網(wǎng)站。

圖5 帶惡意鏈接的釣魚郵件

2.1.3 含毒附件郵件

通常來說，用戶因好奇、獵奇等心理會習慣性下載郵件附件，攻擊者利用用戶此習慣在發(fā)送的仿冒郵件中攜帶包含惡意宏的Office 文檔、可執(zhí)行程序（EXE、SCR、VBS）、快捷方式文件（LNK）和壓縮包（ZIP）等附件[4]。通常，Office 啟用宏快捷方式文件會調用Powershell 腳本執(zhí)行惡意腳本命令，可執(zhí)行文件在執(zhí)行后將遠程下載各種注入病毒、蠕蟲、木馬后門等，而壓縮包文件內則直接攜帶某惡意木馬，上述病毒往往種類繁多、變體復雜，能夠對目標網(wǎng)絡系統(tǒng)實施破壞性攻擊[5]。常見附件病毒類型如圖6 所示。

圖6 常見附件病毒類型

2.2 新型釣魚郵件技術

伴隨著信息技術和人工智能技術的發(fā)展，用于進行釣魚郵件攻擊的輔助工具、附件惡意載荷以及防御逃避技術也持續(xù)革新。

2.2.1 生成式AI 輔助魚叉釣魚攻擊技術

2022 年以來，以ChatGPT 為代表的生成式人工智能（Artificial Intelligence，AI）技術掀起了全球人工智能熱潮，其高度智能化的特性在帶來便利的同時，也為黑客制作網(wǎng)絡武器化的釣魚郵件攻擊提供了“捷徑”。生成式AI 機器人可根據(jù)用戶需求快速創(chuàng)建完整的釣魚郵件感染鏈，向特定目標實施魚叉釣魚攻擊，相比于傳統(tǒng)釣魚郵件攻擊方式，具有以下特點：

（1）技術門檻更低。研究發(fā)現(xiàn)，使用生成式AI 機器人輔助制作釣魚郵件幾乎不需要任何技術儲備，僅需簡單文字描述便可生成武器化的釣魚郵件，極大降低了黑客實施攻擊的成本。使用生成式AI 機制人輔助制作高仿真釣魚郵件的步驟如圖7 所示。

圖7 生成式AI 制作釣魚郵件的步驟

一是用戶向ChatGPT 程序提供一段描述具體郵件需求的文字，包括主題、收件人、內容以及其他具體要求。二是ChatGPT 將根據(jù)需求模擬各種社會環(huán)境，快速生成一封語法合理、邏輯通順、文字精練、格式規(guī)范的高仿真釣魚郵件。三是生成式AI 技術還可根據(jù)用戶需求自動生成具有惡意功能的代碼，黑客可利用“一站式”輕松實現(xiàn)“釣魚郵件+惡意附件”結合的攻擊方式。

如圖8 所示，使用ChatGPT 自動創(chuàng)建的釣魚郵件內容包括目標姓名、郵件主題、主要訴求、第三方鏈接（惡意）、落款等高度仿真信息，極具欺騙性和迷惑性。

圖8 使用ChatGPT 自動創(chuàng)建釣魚郵件

（2）欺騙性和迷惑性更強。攻擊者可以向生成式AI機器人描述更多有關攻擊目標的社會身份、性格愛好、工作環(huán)境等詳細背景信息，通過AI 高度智能化的學習訓練模型，可使用特定的寫作習慣，針對特定目標，產出特定主題的魚叉式釣魚郵件，相比于傳統(tǒng)釣魚郵件更加難以分辨真?zhèn)巍?/p>

（3）回報比更高。根據(jù)相關研究發(fā)現(xiàn)，廣撒網(wǎng)、電子郵件欺詐以及魚叉式釣魚郵件攻擊等傳統(tǒng)攻擊方式往往會耗費黑客大量精力去設計、制作、投遞釣魚郵件，采用此類通用欺騙手法仿制的郵件往往容易被識破，而針對特定目標精心設計的釣魚郵件、定制化的惡意誘餌又耗費較多時間和技術成本。生成式AI 技術基于龐大的深度學習神經網(wǎng)絡，可模擬社會工程學手法，快速制作出高逼真度的釣魚郵件，相比傳統(tǒng)手段，回報比更高。

2.2.2 多種新型附件惡意載荷技術

釣魚郵件攻擊本質上是利用社會工程學理論和方法，抓住“人性弱點”來繞過計算機主動安全和防御機制，最初目標僅是竊取登錄憑證或數(shù)據(jù)。隨著黑客技術演進發(fā)展，攻擊者開始將釣魚郵件攻擊作為一種投遞惡意載荷的方式，利用附件夾帶勒索軟件、僵尸蠕蟲、木馬病毒等惡意程序，以實施滲透攻擊。此類新型攻擊思路迅速成為當下最為流行的釣魚郵件攻擊方式，也催生出多種附件惡意載荷攻擊技術，極大程度提升了釣魚郵件攻擊的威脅性和破壞力。

（1）Office 文件啟用宏。攻擊者利用熱點新聞、輿情和事件內容為標題創(chuàng)建word、excel、ppt 以及pdf 等Office 文檔，在其中設置惡意宏代碼，將其設置為受保護文檔、模糊文檔或在其中插入模糊圖片，提示用戶需要啟用宏才可進一步查看使用，以此誘導用戶開啟宏，進而提取、釋放和自動執(zhí)行惡意程序，整個過程用戶幾乎沒有任何感知。

（2）可執(zhí)行文件攻擊。黑客將exe、scr 等可執(zhí)行文件作為郵件附件，用戶下載后文件自動運行，并與遠控服務器建立連接，執(zhí)行進程駐留、病毒下載、數(shù)據(jù)竊取等惡意行為。此外，為進一步提升此類可執(zhí)行程序的執(zhí)行率，部分黑客將木馬病毒、可執(zhí)行程序等壓縮打包，利用WinRAR 功能將壓縮包設為自解壓文件，并預留一段自解壓后的默認執(zhí)行命令。用戶下載該文件后，壓縮包將自動解壓并執(zhí)行包內的惡意程序和指令，此類指令一般是啟用PowerShell，執(zhí)行權限提升、系統(tǒng)控制等非法入侵行為。

（3）幫助文件（Compiled HTML Help，CHM）捆綁木馬。CHM 格式文件是Windows 幫助文件，此文件可以被植入惡意腳本，因其方便、快捷、成本低的特點成為黑客組織常用的釣魚郵件攻擊附件載荷，但其缺點是打開時會出現(xiàn)彈黑框、卡頓等現(xiàn)象，容易引起目標警覺。

（4）快捷方式文件（Link File，LNK）欺騙。LNK快捷方式是指向其他文件的一種格式文件，其屬性中有target 目標路徑，用戶雙擊執(zhí)行該文件時會自動執(zhí)行目標路徑的程序。黑客利用此特性，在target 中嵌入惡意腳本指令，并偽造LNK文件圖標，提高欺騙性以迷惑和引導用戶運行。

（5）附件偽裝。一些黑客組織在郵件附件中利用附件偽裝技術，將容易引起用戶警惕和防范的非常規(guī)文件偽裝成不易被察覺的文件，以迷惑和欺騙用戶。例如，將惡意程序圖標替換為常用軟件圖標、偽裝成正常格式文檔、文件名添加長空格以隱藏格式后綴、文件名反轉等。此外，在境外黑客組織“海蓮花”攻擊樣本中，還發(fā)現(xiàn)利用圖片隱寫技術隱藏后門程序的攻擊手法。

（6）動態(tài)鏈接庫（Dynamic Link Library，DLL）劫持攻擊。DLL 劫持攻擊技術作為常用網(wǎng)絡攻擊手段也被用于釣魚郵件攻擊中，黑客將Windows 系統(tǒng)或QQ、360 等常用應用程序軟件的可信DLL 文件替換為同名的惡意DLL 文件，以繞過系統(tǒng)安全軟件的主動防御機制，實現(xiàn)應用層面的白加黑攻擊。目前，動態(tài)鏈接庫劫持攻擊技術已被黑客組織廣泛用于權限維持和安全軟件免殺，成為最為隱蔽和效果最好的惡意載荷之一。

2.2.3 多片段程序編碼混淆檢測逃避技術

當前，由于企業(yè)和個人郵箱安全機制的不斷優(yōu)化，安全廠商研發(fā)的各類郵件附件安全檢測產品的逐步普及，使得黑客為逃避此類產品的檢測開始針對性地研發(fā)各類新型隱匿逃避技術，出現(xiàn)了一種通過摩斯電碼、美國信息交換標準代碼（American Standard Code for Information Interchange，ASCII）等多種編碼進行程序分段混淆加密的免殺逃避技術。其技術過程如下：

（1）惡意程序分段混淆。采用“分段+編碼+混淆”的技術思路。首先，將設計好的惡意程序或腳本依據(jù)不同階段、不同功能拆分成多個代碼片段，每個片段本身看上去沒有任何惡意功能或行為。其次，利用摩斯電碼、ASCII、Escape、Unicode、Base64 等多種編碼方式對每個片段進行單獨編碼和加密。

（2）多種編碼組合逃避檢測。針對每個程序片段或惡意鏈接的編碼方式并非單一不變的，可能使用2 ～3 種編碼的組合，并周期性、隨機性地變更編碼類型，這使得普通的安全監(jiān)測軟件無法提取其規(guī)則，難以有效防范。此外，針對網(wǎng)絡釣魚工具、虛假鏈接等較為敏感的代碼片段，利用多重鏈接機制（如JavaScript 腳本）等進行替換，再將該腳本托管在第三方網(wǎng)站中，以提升隱蔽性。

（3）組合片段實現(xiàn)惡意功能。每個編碼后的代碼或鏈接本身不具備任何惡意功能，但當這些代碼片段解碼、解密、重新組合后，便逐步顯現(xiàn)出某種特定惡意用途。

使用多片段程序混淆技術實施釣魚攻擊的技術分解案例如圖9 所示。

圖9 多片段程序編碼混淆技術

攻擊者向目標發(fā)送一份攜帶超文本標記語言（Hyper Text Markup Language，HTML）代碼文件的釣魚郵件，該HTML 代碼被拆解為多個帶有JavaScript 代碼的片段，片段1 包含攻擊目標的基本信息，片段2 為一個編碼后的JavaScript 腳本，運行后將加載模糊背景文檔，片段3 為另一個編碼后的腳本，加載后執(zhí)行跳轉仿冒網(wǎng)頁、誘導用戶輸入密碼等不同功能。系列步驟完成后顯示出該HTML 附件文檔的真實惡意用途。

3 防范對策建議

釣魚郵件攻擊技術雖然在持續(xù)更新，但應認識到其本質都是通過社會工程學手法，利用人們的好奇心、獵奇心以達到欺騙目的，因此應該以預防為基礎，配合反釣魚郵件工具，輔以安全監(jiān)測產品開展防范保護。

3.1 強化釣魚攻擊防范意識

無論釣魚郵件技術有多高超，隱蔽性有多強，只要用戶不打開、不點擊，攻擊者就無法達到攻擊目的，因此強化安全防范意識是防范釣魚郵件攻擊的首要環(huán)節(jié)和重中之重。企業(yè)應落實好網(wǎng)絡安全和數(shù)據(jù)安全防護主體責任，定期對員工開展安全培訓，宣傳釣魚郵件防范內容，提高企業(yè)和員工整體安全防護意識，降低遭受大規(guī)模釣魚郵件攻擊的風險。加強數(shù)據(jù)安全保護，妥善管理保存在個人郵箱內的數(shù)據(jù)，及時隔離存儲重要文件、刪除失效文件。保管好郵箱登錄憑證，不在任何互聯(lián)網(wǎng)網(wǎng)站上隨意輸入賬戶密碼，不輕易發(fā)布任何敏感信息。如遭遇釣魚攻擊，用戶應第一時間隔離斷網(wǎng)，并將相關情況匯總上報給企業(yè)管理者或相關安全部門，盡可能降低影響，減少次生危害[6]。

3.2 加強釣魚郵件內容甄別

針對郵件內容，應學習借鑒“零信任”思想，對每一封收到的郵件仔細檢查，識別檢查發(fā)件人身份信息、郵件內容、附件等，確認發(fā)件人名稱、郵箱等是否存在仿冒痕跡，如用“r+n”的字母組合代替“m”以欺騙用戶等。注意檢查郵件標題和正文的用詞用語，對“務必盡快回復”“通知”“日程”等字眼以及附帶鏈接需格外保持警惕并反復確認后再進行后續(xù)操作。尤其是針對生成式AI 制作釣魚郵件方式，應格外提高警惕，利用線下確認和電話查證方式，反復核對、確認無風險后再對郵件進行查看、點擊、下載及其他操作。此外，應謹慎查看郵件附件的名稱、格式、類型等信息，確認其是否存在篡改后綴、攜帶木馬等隱患[6]。

3.3 安裝附件安全檢測工具

針對郵件附件，應視情安裝使用國內安全廠商研發(fā)的主流威脅檢測工具和殺毒軟件。目前，Chrome、火狐等主流瀏覽器均帶有反釣魚工具欄，能夠對不慎打開釣魚鏈接的行為進行隔離阻斷，還能夠自動檢測下載的附件是否具有木馬風險等。此外，國內多家安全廠商的反釣魚郵件工具能夠基于威脅情報庫、惡意鏈接檢測、云沙箱技術、行為分析模型等手段對郵件附件進行病毒掃描和惡意判定等，具備及時發(fā)現(xiàn)、警告、清除帶毒附件惡意程序的能力，能夠有效幫助用戶防范釣魚郵件攻擊，強化郵箱安全防御屏障。

4 結 語

本文立足于釣魚郵件攻擊防護，介紹釣魚郵件攻擊的基礎概念、攻擊類型、社會工程學手法，分析我國內遭受釣魚攻擊現(xiàn)狀、特點和面臨的威脅。結合實例，深入剖析不同釣魚郵件攻擊的技術類型、原理和革新，詳細介紹生成式AI、多片段程序編碼混淆檢測逃避技術、附件惡意載荷技術等新興釣魚攻擊方式，從強化安全意識、釣魚郵件內容甄別、惡意附件檢測等方面提出針對性的防范措施。