在当前的环境下，网络钓鱼已经成为引发互联网安全事件的重要原因。中培伟业《黑客攻防技术实战》培训专家袁老师在这里就网络电鱼技术方面的发展进行了介绍。

AOL、盗版软件与网络钓鱼的起源

社会工程技术一直就是犯罪教科书的一部分;最早的网络钓鱼案例，发生在20多年前。90年代初期，攻击者将曾经流行的AOL平台锁定为目标，使用即时消息诱骗用户透露他们的口令。

这些攻击者锁定高价值目标的耗时不算太长，毫无戒备的受害者在“不验证账单信息就马上删除账户”的压力之下，往往很快就什么都吐露了。进一步演化，犯罪团伙不仅能获得受害者的AOL凭证，他们的银行账号和支付卡信息也不能幸免。

AOL强化了他们的反欺诈行动，实现新方法以主动删除涉嫌网络钓鱼的账户。这是决定性的一击，迫使攻击者转而搜索新的机会。

犯罪活动

网络钓鱼伴随着粗制滥造的电子邮件进入主流，这些邮件满是拼写错误、低分辨率的图片和设计问题，用户很容易就能分辨出这些所谓的“迹象”。

同时，用户也习惯于将拼写错误等同于网络钓鱼，而将拼写、语法和展示无错的网站默认为合法的。还有另一个惯性思维是，“HTTPS==100%安全”——研究人员经常发现有威胁活动使用 Let’s Encrypt 凭证(使用域名验证SSL)来灌输危险的错误安全感。

袁老师指出，当前点击率最高的网络钓鱼活动涉及的话题，都是人们在日常工作中经常遇到的那些，包括物流确认和HR文书。

有趣的是，雇员在打开以“快速致富”计划、奖励和竞赛为噱头的邮件时，反而更加谨慎。考虑到我们可以从这些报告中抽取的普世经验时，一个明显的发现就是，网络钓鱼依然是各种攻击的主催化剂。

鱼叉式网络钓鱼

过去10年里最恶名昭彰的一些网络犯罪，就拿零售连锁店、大学和银行来说吧，都是由某用户打开了一封鱼叉式网络钓鱼邮件引发的。传统网络钓鱼采用广撒网战术，寄希望于中奖似的机会，鱼叉式网络钓鱼则是高度针对性的。

由于鱼叉式网络钓鱼邮件如此与众不同，传统信誉和垃圾邮件过滤往往检测不出其中包含的恶意内容。鱼叉式网络钓鱼攻击还能结合进发家伪造、多态URL和偷渡式下载来规避常规防护措施。

钓鲸和CEO诈骗

钓鲸，是用来描述专门针对单一高调商业目标的网络钓鱼攻击的。CEO、部门主管和其他高管级员工，代表着公司的大鱼。

钓鲸攻击中，黑客发送的邮件都带有精心制作的托辞——往往围绕“紧急电汇”或金融交易编织而成。因此，钓鲸往往被等同于CEO诈骗和商业电子邮件入侵(BEC)骗局。

1. 社交媒体欺骗

网络罪犯用与你真实客户支持账号相似的昵称，创建极具可信度的虚假客户服务账号。然后，他们等待客户向真实账号求助。当你的客户试图联系公司时，罪犯就会通过发自虚假支持页面的虚假客户支持链接来劫持对话。

这种别名为“安康鱼”的网络钓鱼攻击方法(注意别与Angler漏洞利用工具包搞混了)，因为客户早已预期收到公司的回复，而成功率极高。在最近的《社交媒体品牌欺诈报告》中，Proofpoint发现，与10家全球品牌有关的社交媒体账号中，近20%都是虚假的。

2. 勒索软件和软定位

研究人员指出，Locky继续领跑最灵活勒索软件变种家族，犯罪团伙不断精炼其构造和投放方式。软定位和广分布攻击的使用也是关键;“软定位”部署的网络钓鱼，介于钓鲸攻击和大规模网络钓鱼邮件之间。

PhishMe的报告，给读者留下了令人不安的结论：

对勒索软件的快速意识和关注，迫使攻击者转移和迭代他们的战术，无论攻击载荷还是投放方式。这一持续的韧性显示出，仅仅意识到网络钓鱼和威胁，是不够的。

3. Dropbox和 Google Drive

基于云存储服务的网络钓鱼活动，比如 Google Drive 和Dropbox，已经存在好些年了。这些在形式上通常很传统——用链接和暗示导引受害者到虚假登录页面。

最近就有人遇到过罪犯将图像伪装成Gmail里的PDF附件，但实际上就是个导引用户到谷歌账户钓鱼网站的链接。

最后，袁老师对关于如何保持安全提出了几个建议：

1. 避免回复可疑邮件或与发送者产生联系

2. 自己打开网站——不要点击嵌入的链接或媒体

3. 警惕含有催促或威胁意味的托辞

4. 用带外通信核实请求和信息

5. 检查浏览器以确保反网络钓鱼服务是启用的

6. 使用口令管理器;不要跨多个网站重用同样的口令