1.3 示例

我不太清楚你們的情況，但我和克里斯都善于從例子中學(xué)習(xí)。本節(jié)涵蓋了一些因釣魚攻擊而受到重大損失的例子，并介紹了一些如今仍在使用的釣魚手段。我們也會討論為什么它們?nèi)绱俗嘈А?/p>

首先，有必要提到反釣魚工作組（APWG, www.apwg.org）。我們可以用好幾頁來介紹這些人，但是沒有必要，你需要知道的就是反釣魚工作組是一個全球安全愛好者聯(lián)盟，他們對全球的釣魚攻擊進(jìn)行研究、定義和報(bào)道。

根據(jù)反釣魚工作組2014年8月的報(bào)告來看，釣魚攻擊仍舊數(shù)量驚人。2014年第二季度，消費(fèi)者向反釣魚工作組報(bào)告了128378個不同的釣魚站點(diǎn)和171801封不同的釣魚郵件。這是自反釣魚工作組開始追蹤這些數(shù)據(jù)以來第二高的季度報(bào)告數(shù)值。交易服務(wù)和金融機(jī)構(gòu)是主要攻擊目標(biāo)，占總體的60%。同時也呈現(xiàn)出了一個新趨勢：針對在線支付和加密貨幣（crypto-currency）的攻擊有所增加。

現(xiàn)在你已經(jīng)總覽了這些數(shù)據(jù)，是時候談?wù)勂渲械募?xì)節(jié)了。

1.3.1 重大攻擊

目前為止，塔吉特公司（Target Corporation）受到的攻擊可能是最著名的案例之一。它影響了近1.1億消費(fèi)者——估計(jì)大約有4000萬信用卡信息和7000萬個人可識別信息遭到泄露；你的個人數(shù)據(jù)可能就在其中。這個事件中一個有趣的地方在于，攻擊者似乎并非特意針對塔吉特公司。這是一起攻擊升級的例子。塔吉特公司在開始的攻擊成功后變成了一個潛在受害者。在這個案例中，最初的受害者是塔吉特公司的一家暖通空調(diào)（HAVC）供應(yīng)商，它擁有塔吉特公司的網(wǎng)絡(luò)證書。該供應(yīng)商的一位員工收到了一封釣魚郵件，然后他點(diǎn)擊了郵件中會導(dǎo)致惡意軟件加載的鏈接，惡意軟件隨后從承包商處竊取了他的登錄信息。該承包商的網(wǎng)絡(luò)和塔吉特公司的網(wǎng)絡(luò)相連，用于賬單和合同的遞交等。現(xiàn)在還不清楚所有的攻擊細(xì)節(jié)，但是攻擊者最后進(jìn)入了塔吉特公司的服務(wù)器，并攻陷了交易系統(tǒng)。

雖然對消費(fèi)者造成的最終損失仍有待評估，但是塔吉特公司已經(jīng)花費(fèi)了2億多美元以重印被盜取的信用卡——這還沒有考慮日后可能發(fā)生的欺詐行為。總之，對于幫助人們意識到釣魚攻擊的危險(xiǎn)性來說，這是生動而昂貴的一課。

另一起值得注意的攻擊是關(guān)于RSA公司的，你可能都不記得那件事了。現(xiàn)在提起RSA，人們首先想起的是始于2013年年底的與國家安全局有關(guān)的加密算法的事情。此事的影響遠(yuǎn)超過2011年RSA公司經(jīng)歷的攻擊事件。不同于塔吉特公司遭受的偶然性攻擊，RSA公司所經(jīng)歷的看起來是一起針對RSA員工發(fā)動的攻擊。顯然，一封發(fā)給RSA低層員工的電子郵件中包含的惡意Excel附件導(dǎo)致了這一切（見圖1-4）。

RSA公司的垃圾郵件過濾系統(tǒng)發(fā)現(xiàn)了這封郵件，并把它放進(jìn)了用戶的垃圾郵件文件夾內(nèi)。令人感興趣的地方就在這里：總有人要擺脫原本設(shè)計(jì)好的技術(shù)控制，做出一些不該做的事。至少有一位員工打開了那封郵件，并且點(diǎn)擊了附件。這給了攻擊者進(jìn)入內(nèi)部網(wǎng)絡(luò)的機(jī)會，也最終使得他們有機(jī)會竊取RSA公司的一些產(chǎn)品信息。有報(bào)道稱事件發(fā)生后的一個季度內(nèi)，RSA的母公司EMC花費(fèi)了6600萬美元進(jìn)行善后工作，包括業(yè)務(wù)監(jiān)控和密鑰更換。

另一起基于產(chǎn)品的攻擊也值得注意，那就是2009年可口可樂公司遭受的攻擊。這是一次非常有針對性的魚叉式釣魚攻擊，攻擊目標(biāo)直指可口可樂公司高管。高管收到的郵件標(biāo)題是“省電就是省錢！（來自CEO）”。這封電子郵件的標(biāo)題顯然很爛，但是還需要考慮一些因素。首先，這封郵件似乎來自于可口可樂公司法律部門的高管；其次，在受到攻擊時，可口可樂公司恰好在推廣節(jié)能運(yùn)動（這證明攻擊者事先做足了功課）。高管打開了郵件，然后點(diǎn)擊了鏈接。這個鏈接看起來應(yīng)該指向關(guān)于節(jié)能項(xiàng)目的更多信息，但實(shí)際上指向了一個惡意網(wǎng)站。網(wǎng)站后臺加載了一系列的惡意程序，包括鍵盤記錄等。這使得攻擊者獲得了企業(yè)內(nèi)部網(wǎng)絡(luò)和數(shù)據(jù)的訪問權(quán)限，直到幾周后才被發(fā)現(xiàn)。

這一攻擊發(fā)生在2009年2月，在3月接到FBI（聯(lián)邦調(diào)查局）的通知前，可口可樂公司并沒有意識到有大量的敏感數(shù)據(jù)被盜。當(dāng)時可口可樂公司正試圖用24億美元收購一家軟飲料制造商，而收購最后失敗了。失敗的原因眾說紛紜，但至少有一家安全組織聲稱，是由于談判策略和收購價(jià)格等關(guān)鍵信息泄露給了對方才導(dǎo)致了談判的失敗。

正如之前提到的，對美聯(lián)社的黑客攻擊之所以令人印象深刻，是因?yàn)橐粭lTwitter消息就對股票市場產(chǎn)生了巨大的影響。黑客只是通過簡單的魚叉式釣魚攻擊，讓美聯(lián)社的員工誤以為郵件是同事發(fā)來的（如圖1-5所示）。

盡管這封郵件含糊其辭，但它來自“已知”的來源，而且似乎指向了《華盛頓郵報(bào)》網(wǎng)站上的一個合法的頁面。實(shí)際上受害者點(diǎn)擊的鏈接指向了一個仿冒網(wǎng)站，這個網(wǎng)站是用來收集他們的登錄信息的。該仿冒網(wǎng)站允許用戶使用他們的Twitter賬戶進(jìn)行授權(quán)登錄，這就導(dǎo)致了后面的Twitter賬戶被盜。

顯然，無論采取怎樣的技術(shù)控制和安全策略，公司仍然和普通人一樣容易受到網(wǎng)絡(luò)釣魚攻擊。那么普通人會遇到的釣魚攻擊的例子是怎樣的呢？下面一節(jié)將會介紹一些你可能已經(jīng)見過的常見例子。

1.3.2 常見的釣魚手段

如果不首先介紹“尼日利亞419”騙局，那么我們關(guān)于網(wǎng)絡(luò)釣魚這一主題的討論注定會留下遺憾。這一騙局也稱為預(yù)付款騙局，實(shí)際上它的歷史已經(jīng)有200多年了（可以想象，在平郵信的時代，這種騙局需要花很長的時間才能生效，但是它仍舊生效了）。它現(xiàn)在之所以被稱為“尼日利亞騙局”是因?yàn)檫@種騙局很多都來源于尼日利亞，數(shù)字419指的是尼日利亞刑法中的欺詐類犯罪的編號。

你可能已經(jīng)見過這類騙局。例如，一位富有的王子聲稱自己被廢黜了，需要你幫助他轉(zhuǎn)移他的大筆財(cái)富；或者一個快要死去的人后悔自己以前吝嗇，需要你幫助他把財(cái)產(chǎn)捐給慈善機(jī)構(gòu)。無論故事情節(jié)如何，這類騙局有幾個不變的基本特征。

? 金錢的數(shù)額巨大。

? 他們相信你，一個對他們而言完全陌生的人，讓你去轉(zhuǎn)賬、付款或者持有這筆錢。

? 你會獲得一定的報(bào)酬，但你需要做下面這些事：

■ 為他們提供你的銀行賬戶信息以便他們給你轉(zhuǎn)賬；

■ 協(xié)助他們付轉(zhuǎn)賬費(fèi)用，主要是由于不穩(wěn)定的政治局勢或個人原因而導(dǎo)致他們無法自己支付轉(zhuǎn)賬費(fèi)用。

圖1-6展示了一個真實(shí)的例子，這是我最近收到的一封郵件。這封郵件來自加納而非尼日利亞，但是你懂得意思就好。

對于大多數(shù)人來說這是一個很明顯的騙局，那么究竟是什么讓我確定這并不是來自非洲王室的正當(dāng)請求呢？

? 我并不認(rèn)識任何非洲皇室的人，或者任何來自加納礦業(yè)和能源部門的人，我甚至連任何叫約翰遜·艾迪約亞（Johnson Adiyah）的人都不認(rèn)識。

? 約翰遜·艾迪約亞也沒理由認(rèn)識我，這是很顯然的，因?yàn)樗卩]件開頭沒提我的名字。這么大的一筆交易，他居然連對方的名字都不知道？

? 雖然我明白有些事會自然發(fā)生，但是這個請求實(shí)在是太突然了。

? 他們實(shí)在太信任我了（比起一家銀行、一位熟人，甚至一家法律事務(wù)所），讓我一個陌生人處理850萬美元。雖然我認(rèn)為自己的確是一個值得信任的人，但是你知道用850萬美元我可以買多少蟹肉餅嗎？

? 最后，盡管我相信發(fā)送者使用了拼寫檢查，但是他的英語很奇怪，似乎英語并不是他的母語。假如我真的在加納認(rèn)識一位約翰遜·艾迪約亞的話，這一點(diǎn)當(dāng)然不成問題。尼日利亞419騙局只是一個入門級別的騙局，很容易辨別。你可能會想，既然如此，為什么200年后這個騙局仍然存在而且依舊會有人上當(dāng)受騙呢？可能你自己也收到過這類郵件，那么為什么它仍然有效呢？

? 貪婪。這是第一原因，也是最基本的原因。大多數(shù)人永遠(yuǎn)不會有機(jī)會見到像419釣魚騙局中那么多的錢，這一點(diǎn)會讓很多人思維短路。這個故事有可能是真的，對不對？其實(shí)不是這樣。但如果你可以說服自己總有一天會中彩票的話，那么進(jìn)一步說服自己真會有陌生人讓你拿著他的錢，可能也不是那么困難。

? 缺乏教育。在本書后面的部分，我們將會從不同的方面來談這個因素。有很多人（直到現(xiàn)在，包括我母親）對于有人想通過電子郵件竊取他們的身份信息或錢財(cái)這一點(diǎn)一無所知。

? 過于輕信。這個世界上有人完全信任其他人。如果說我們生活在一個輕信他人并不會給自己帶來危險(xiǎn)的世界，那真是太棒了。

除了為你提供巨額財(cái)富以外，壞人還喜歡使用一些常見的主題。有的主題至少能讓你停下來懷疑它的真實(shí)性。

1．金融類主題

金融類主題是釣魚攻擊者的最愛。我們大部分人都會把錢存起來、轉(zhuǎn)賬、交稅，因此當(dāng)收到一封來自金融機(jī)構(gòu)的通知時，人們通常是會打開郵件的。釣魚攻擊的方式無窮無盡，他們通常要求你在線提交賬戶信息細(xì)節(jié)以驗(yàn)證你的身份。最常見的金融釣魚攻擊包括下面這些類型。

? 賬戶有異常的登錄請求。

? 銀行升級了在線安全措施。

? 未按時還貸或者納稅。

圖1-7到圖1-10展示了一些例子。這些釣魚攻擊大部分都比尼日利亞騙局要復(fù)雜和完善，它們可能包括了商標(biāo)和圖片，看起來更正規(guī)一些。我們把這些騙局歸類為中級釣魚騙局。

盡管這些釣魚騙局手段更高明，但是仍然有一些蛛絲馬跡可以讓人判斷它們是假的。

? 問候語通常是模糊的，難道銀行不知道客戶的名字嗎？“尊貴的客戶”不算。

? 拼寫、語法和大寫字母方面的問題，盡管比之前的好，但是仍然有一些奇怪的地方。

? 用于驗(yàn)證的鏈接指向的網(wǎng)址并不屬于所謂的發(fā)件人。

? 使用緊迫的語氣（“請立即回復(fù)，否則您的賬戶將被凍結(jié)”）。

這些郵件主要通過利用人們恐懼或焦慮的心理來迫使其采取行動。任何威脅到金錢的事情都是可怕的。實(shí)際上，本節(jié)中大多數(shù)例子都有很多共性，特別是讓人們采取行動的方法。

? 利用權(quán)威。這是一條影響原則，第3章會詳細(xì)談到。人基本上是社會動物，我們都會對不同形式的權(quán)威做出反應(yīng)。

? 時間限制。郵件中說你的賬戶會在48小時后銷戶！這種話的確增加了緊張感。出于我們的生存本能，任何對獲取資源的限制都會讓我們感受到威脅。

? 可能的危害。想到你的銀行賬戶被檢測到異常行為，可能是某些不法分子正在試探你的賬戶，這一點(diǎn)確實(shí)讓人害怕。畢竟唯一應(yīng)該在我金幣附近徘徊的人是我——也可能是史矛革。

2．社交媒體威脅

另外一個你可能見過的常見主題是通過社交媒體進(jìn)行的網(wǎng)絡(luò)釣魚。社交媒體的核心當(dāng)然就是交際，因此如果你使用的社交媒體服務(wù)用郵件通知你有新的好友請求或者要求你點(diǎn)擊某個鏈接，那么你通常不會懷疑。一般而言，這類郵件和金融類郵件的難度等級差不多，也可以通過相同的細(xì)節(jié)來進(jìn)行識別。然而在我看來，這類郵件反而更容易讓你中招，因?yàn)槟慵热患尤肓松缃幻襟w，那么收到一些邀請就是很正常的，更重要的是，也是你期盼的。另外，這類郵件可能不會像銀行郵件那樣引起你的警覺，這會降低你的防范意識。

和金融服務(wù)釣魚一樣，這類郵件有時候也會利用恐懼來驅(qū)使某類行為，如圖1-11所示。

恐懼是普遍的行為激發(fā)因素，但是失去社交媒體賬號不只是緊要的事件，而且很不方便（對大多數(shù)人來說）。然而，社交媒體鼓勵用戶參與和相互聯(lián)系，所以也給了攻擊者其他的可乘之機(jī)。這些攻擊也依賴于人們的責(zé)任感。社交媒體網(wǎng)站通過人們的相互聯(lián)系而發(fā)展壯大，它們讓參與社交變得有趣，讓你成為某個小組的一員。釣魚攻擊者也使用相同的把戲。很多人點(diǎn)擊鏈接是因?yàn)樗麄儾幌胍驗(yàn)榫芙^他人的好友請求而傷害他們的感情，或者他們不想因?yàn)椴换貞?yīng)而顯得粗魯——即使是對他們不認(rèn)識的人（見圖1-12和圖1-13）。

3．公共事件詐騙

最后一類你可能見過的釣魚欺詐真是令人發(fā)指。騙子在一起公共事件發(fā)生后直接進(jìn)行釣魚攻擊，例如自然災(zāi)害、飛機(jī)墜毀或者恐怖襲擊——基本上任何受到大量媒體關(guān)注的事情，同時也是大多數(shù)人重點(diǎn)關(guān)注的事情。他們利用了我們自然產(chǎn)生的恐懼、好奇和同情。用挑剔的眼光來看，這些攻擊大都處于中級水平。它們包含了明顯的非法標(biāo)志。盡管如此，有些人很容易成為這類釣魚攻擊的受害者，因?yàn)樗麄儍H憑情緒反應(yīng)來處理這些事件。怎樣讓人們不經(jīng)大腦就做出決定？激起強(qiáng)烈的情緒。第2章會討論這種叫作“杏仁核劫持”（amygdala hijacking）的有趣現(xiàn)象。

在塔吉特公司宣布其系統(tǒng)漏洞后的24小時內(nèi)，騙子就開始利用人們對于個人身份信息和財(cái)務(wù)狀況的擔(dān)憂心理。在已知的至少12種欺詐方法中，有一種是給塔吉特公司的顧客發(fā)郵件解釋這件事，然后表示可以提供免費(fèi)的信用卡監(jiān)控服務(wù)。這種釣魚攻擊對任何人來說都很難識別，因?yàn)檫@封郵件就是塔吉特公司郵件的克隆版，如圖1-14所示。你可能不得不檢查發(fā)件人的郵件地址或者郵件中的鏈接來辨別真假。另外一點(diǎn)使得這封郵件非常具有欺騙性：真正的塔吉特公司郵件的發(fā)送者是TargetNew@target. bfi0.com，這個地址無論是誰都會覺得可疑。在迷惑和恐懼的影響下，塔吉特公司漏洞事件確實(shí)被壞人濫用了。

顯然有塔吉特賬戶的人最容易受到這類欺詐。塔吉特公司是一家規(guī)模龐大的零售商，它的漏洞足以讓每個人緊張不已。難道有人從未在塔吉特買過東西嗎？

我和克里斯在這里談這些并不是為了評判這件事，而是想要通過這件事來給大家提個醒。這種公共事件欺詐的災(zāi)后變體無疑是非常可怕的。這些釣魚郵件并沒有進(jìn)行恐嚇（這樣已經(jīng)很壞了），而是利用了你和其他人的關(guān)系。在波士頓馬拉松爆炸案發(fā)生后的幾小時內(nèi)，騙子就開始行動了。很多釣魚郵件只是簡單地提供了一個似乎是指向爆炸視頻的鏈接。它們利用人們天生的好奇心，而這些鏈接實(shí)際指向了一些會下載惡意軟件的網(wǎng)站。此類釣魚攻擊的變種之一如圖1-15所示，是一封偽造的來自CNN的郵件，它利用了人們對權(quán)威的盲從和天生的好奇心。

最糟糕的是那些利用了人們想要幫助他人的愿望的釣魚攻擊。在悲劇事件發(fā)生后的幾小時內(nèi)，騙子會發(fā)送一些請求幫助的郵件。圖1-16展示了一封在2011年日本發(fā)生海嘯和地震后流傳的郵件。報(bào)道指出，這類詐騙在第一次地震發(fā)生3小時后就開始出現(xiàn)了。

很容易判斷圖1-16中的郵件是一封釣魚郵件，因?yàn)榧t十字會是直接通過它的網(wǎng)站接受募捐的，而不是通過像MoneyBookers這樣的服務(wù)給一個雅虎郵箱匯款。但是在這次令人悲傷的公共事件后，又有很多人迫切地想要幫助其他人，于是不幸被騙。這類通過災(zāi)難進(jìn)行的欺詐會通過打電話甚至是上門懇求的方式來使得他們的表現(xiàn)更逼真一些。

4．網(wǎng)絡(luò)釣魚小結(jié)

總結(jié)一下本節(jié)的內(nèi)容，現(xiàn)實(shí)中的網(wǎng)絡(luò)釣魚有很多不同的形式，但是有一些共同的主題：

? 尼日利亞419騙局（提前預(yù)支費(fèi)用或者竊取身份信息的變種）

? 金融/支付服務(wù)

? 社交媒體

? 利用公共事件

這個列表實(shí)際上還可以擴(kuò)展，可以包括任何能進(jìn)行在線溝通的實(shí)體［想想eBay、Netflix、軟件升級和USPS（美國郵政）］。大多數(shù)釣魚欺詐都可以歸類為初級至中級難度，并且它們都有很多共性。舉例來說，它們都用到了下面這些要素來迫使人們采取行動：

? 貪婪

? 恐懼

? 敬畏權(quán)威

? 渴望交流

? 好奇

? 同情

大多數(shù)網(wǎng)絡(luò)釣魚都有一些特征可供判斷。然而，隨著釣魚攻擊的手段變得高明，很多特征正在變得不明顯：

? 含糊的稱呼/簽名

? 未知的/令人懷疑的發(fā)送者

? 未知的/令人懷疑的網(wǎng)址鏈接

? 錯別字，以及語法、拼寫和標(biāo)點(diǎn)符號錯誤

? 不合情理的借口（特別是419騙局）

? 急迫的語氣

1.3.3 更強(qiáng)大的釣魚手段

你是不是覺得自己像是在用消防水帶喝水？信息量大得要將你淹沒。人們用來竊取信息的手段之巧妙和過程之離奇真是讓人難以招架。更糟的是，前面的例子只是涉及了最基本的釣魚攻擊方式，還有更復(fù)雜（和令人沮喪）的方式。

我和克里斯把這些攻擊方式按難度分類，是為了幫助客戶理解他們所看到的東西，也是為了追蹤客戶的進(jìn)步——能夠識別越來越復(fù)雜的釣魚攻擊。第6章將會詳細(xì)描述那些復(fù)雜的釣魚攻擊。

1．中級釣魚攻擊

你看到的例子大都是初中級難度，但是也有一些例子介于中級和高級之間。例如，塔吉特公司例子中的郵件是真的，只是鏈接指向了惡意網(wǎng)站。讓我們對這些棘手的情況進(jìn)行一些更深入的分析。

第一個例子是另外一起銀行釣魚欺詐事件，如圖1-17所示。

讓我們先談?wù)勻_子高明的部分。哪些因素可能會導(dǎo)致人們點(diǎn)擊郵件中的鏈接呢？

? 銀行商標(biāo)。你可能早就注意到了這一點(diǎn)，但是很多比較高明的釣魚攻擊都會插入真正的商標(biāo)和圖片，這使得它們看起來更正規(guī)。因?yàn)槲覀円呀?jīng)習(xí)慣了各個公司給我們發(fā)郵件時顯示的公司商標(biāo)，所以加入商標(biāo)是掩飾惡意信息并讓我們放松警惕的一種方法。

? 利用恐懼/緊張心理。郵件聲稱如果你不采取行動，你的賬戶就可能會被凍結(jié)。

? 使用急迫語氣。盡管這種信息不會規(guī)定你采取行動的時間，但是你也會被驅(qū)使迅速采取行動。

基于到目前已經(jīng)談到的那些問題，我希望你能夠輕松地識別圖1-17中提到的釣魚攻擊。抓住要點(diǎn)了嗎？

? 沒有個人化的問候。

? 發(fā)送者無從識別。

? 奇怪的語法，包括看上去不自然的主題。

? 鏈接重定向。如果你對鏈接進(jìn)行調(diào)查，很可能會發(fā)現(xiàn)它并不是指向真正的銀行站點(diǎn)（舉例來說，不是訪問www.citizensedmond.com，而是訪問www.unknownand-likelyillegitimateperson.com）。

表面上看，圖1-18中所展示的例子很像前面的銀行郵件，但是有幾個因素使得人們更難識別出它是一封欺詐性郵件。仔細(xì)看看這封郵件，然后思考一下。

仔細(xì)觀察這封郵件后，你可能會捕捉到一些更為復(fù)雜的細(xì)節(jié)，這些細(xì)節(jié)使得圖1-18中的釣魚比普通的釣魚攻擊更高明。

? 更個人化的問候。這封郵件很顯然是發(fā)給具體的某個人的，郵件中談到了那個人的公司。盡管沒有使用圖片或者商標(biāo)，但是BBB（Better Business Bureau）公司本身是一家知名機(jī)構(gòu)。

? 更好地利用了恐懼/緊張心理。這是一封投訴郵件，來自BBB公司，特別提到了合同的事以及公司并沒有回復(fù)投訴者的事。這些足夠讓一個公司所有者大吃一驚。

? 利用權(quán)威。郵件中談到了參考編號、案件編號、OMB（美國預(yù)算管理局）號碼，看起來非常正式。

? 郵件地址。發(fā)件者的郵箱看起來可信，因?yàn)榭雌饋硎莵碜訞bbb.org域名的。

幸運(yùn)的是，這封郵件仍然有一些漏洞，你注意到了嗎？

? 郵件主題中的案件編號和郵件正文中的案件編號并不相同。

? 沒有發(fā)件者的身份信息。雖然郵件來自BBB公司，但是你可能會想到這種事應(yīng)該有專人負(fù)責(zé)聯(lián)系你。

? 同樣，如果調(diào)查郵件中鏈接到投訴信息的鏈接，會發(fā)現(xiàn)它并不指向BBB公司所擁有的域名。

? 仍然有輕微的語法錯誤。

? 我查了一下，BBB公司并沒有消費(fèi)者權(quán)益部門。

2．高級釣魚攻擊

是時候看一些更難識別的例子了。圖1-19所示的是高級釣魚攻擊的例子。不像圖1-13中LinkedIn的郵件，這封郵件更狡猾、更難識別。我懷疑這是一封邀請你與其他人關(guān)聯(lián)的克隆郵件，就像圖1-14中塔吉特公司的那封郵件一樣。

這封郵件為什么有效？

? 它發(fā)自一個“真實(shí)”的人。因?yàn)樗蠰inkedIn賬戶，所以他肯定是真的，不是嗎？

? LinkedIn是社交媒體，所以你會期待有陌生人來邀請你。

? 郵件中有LinkedIn的商標(biāo)，而且它和你之前收到的邀請郵件一樣。

的確，圖1-19中的釣魚攻擊做得很好。如果這是一封克隆郵件，那么它就不會在語言、格式或者商標(biāo)上存在問題，所以你需要做更多的調(diào)查。

? 檢查鏈接，看它們指向哪里。（再次提醒，檢查并不是點(diǎn)擊！）

? 確認(rèn)發(fā)件人的郵箱地址是否與想要關(guān)聯(lián)你的LinkedIn賬戶郵件地址一樣。（要有批判性思維。）

? 如果你仍然不放心，那就忽略這封郵件，登錄你的LinkedIn賬戶看看是否有邀請請求。

圖1-20展示的是我的一位朋友收到的一封郵件。他收到AT&T（美國電話電報(bào)公司）的郵件是很尋常的一件事，因?yàn)樗茿T&T的手機(jī)用戶。幸運(yùn)的是，他是極其注意安全的一類人，想在回復(fù)這封郵件之前仔細(xì)檢查一下。我十分確信這是一次高級釣魚攻擊。

我不知道圖1-20中的那封郵件是否是AT&T公司郵件的克隆；如果不是，那么這封郵件的確很逼真。它會讓大部分普通用戶信以為真，原因如下。

? 使用AT&T的商標(biāo)、顏色和圖片。

? 沒有明顯的語法、拼寫和標(biāo)點(diǎn)符號問題。

? 以語音郵箱無法訪問為借口，會讓大部分人立即采取行動。

那么是什么讓我的朋友避開了這次釣魚攻擊呢？

? 他花了一點(diǎn)時間才意識到他收到這封郵件的郵箱并不是與AT&T綁定的郵箱，這一點(diǎn)真是幫了他一把。

? 這封郵件沒有個人問候。

? 郵件地址包含了一個惡意網(wǎng)址。我的朋友檢查了所有的鏈接，發(fā)現(xiàn)了一件有趣的事情。整個郵件中除了一個網(wǎng)址是惡意的以外，其余的都是正常的網(wǎng)址。如果不是他非常徹底地檢查了郵件，那么這看起來就像是一封真的郵件。

顯然AT&T這封釣魚郵件很難識別，因?yàn)樗_實(shí)通過了基礎(chǔ)的嗅探測試。幸運(yùn)的是，我的朋友從來不通過郵件中的鏈接訪問任何賬戶。希望你讀完本書之后，至少能反思一下自己收發(fā)郵件的習(xí)慣。

1.3.4 魚叉式網(wǎng)絡(luò)釣魚

在本章的最后，讓我們談?wù)勽~叉式網(wǎng)絡(luò)釣魚攻擊。這是一種針對特定目標(biāo)進(jìn)行個人定制的釣魚攻擊。攻擊者會花時間了解你，至少知道你的姓名和郵箱地址。他對你的了解會依據(jù)你的重要程度而定。通過搜索引擎，他可以在社交媒體上找到你的賬戶、網(wǎng)站，或者任何你在網(wǎng)上參與過的內(nèi)容。如果你真的很重要，那么他可能會知道你的興趣愛好和擁有的資產(chǎn)，甚至可能了解你的家庭情況。如果發(fā)現(xiàn)了你的一些丑聞或者尷尬的事，那么他甚至不用掩飾對你擁有的東西的企圖。在這種情況下，他可能會用這些信息來敲詐你或者讓你幫他獲得更多信息。我跑題了，下面繼續(xù)討論網(wǎng)絡(luò)釣魚。

令人毛骨悚然的是，這種程度的調(diào)查可以制造出讓人難以抵御的釣魚攻擊。一個非常想要從你手中拿走某些東西的攻擊者會不擇手段。他會知道你是否曾經(jīng)得到嚴(yán)重的疾病而且現(xiàn)在是慈善機(jī)構(gòu)的支持者。他會知道你是否喜歡在網(wǎng)上賭博，或者你是否有超出償還能力的抵押貸款。這些都是魚叉式網(wǎng)絡(luò)釣魚的核心，它是個人定制的。

圖1-21是一起最近發(fā)生的魚叉式網(wǎng)絡(luò)釣魚，它針對的是高層管理人員。你能想象你的郵箱收到一封這樣的郵件嗎？

讓我們來分析圖1-21中的這封郵件，看看是什么讓這封郵件充滿說服力？

? 郵件中使用了美國地方法院的徽標(biāo)。

? 郵件利用了恐懼和對權(quán)威的敬畏。有人曾經(jīng)因?yàn)楸粋鲉净蛘弑幻畛鱿瘜徟卸吲d嗎？

? 個人化程度高，有全名、郵件地址、公司和電話號碼。

? 郵件中包含了時間限制，有出席的時間以及不出席的后果。

? 沒有任何明顯的拼寫或者語法錯誤。

? 發(fā)送者看起來似乎可信：subpoena@uscourts.com。

說實(shí)話，我認(rèn)為對任何人來說這封郵件都很難判斷真假。下面是我能找到的兩個漏洞。

? 鏈接到傳票的網(wǎng)站是惡意網(wǎng)站。這個例子中，它鏈接到了一個下載密碼記錄軟件的網(wǎng)站。

? 發(fā)件人的郵件地址是@uscourts.com，看起來可信，但是實(shí)際上所有的法院郵箱地址都在頂級域名．gov下。

就是這樣，你有兩個機(jī)會判斷出這封給你帶來壓力和緊張的郵件是假的。再次強(qiáng)調(diào)，除非你有一個根深蒂固的好習(xí)慣，否則你就會中招。