郵件密碼安全是個老生常談的問題了。

先來看看新鮮出爐的2017中國十大電子郵箱弱密碼。

相信你可能在top10中看到了眼熟的密碼，這里要特別說明的是，排行第3位的密碼“Asdf123456”為鍵盤基準(zhǔn)鍵“asdf”與“123456”的組合。而排名第10位的“!QAZ2wsx”，雖然看起來有大小寫字母，有數(shù)字，還有特殊符號，但實際上卻是一個鍵盤左邊鍵的順序排列。所以，特別提醒，只是簡單使用鍵盤上相近的按鍵組合而成密碼，實際上也大多是弱密碼。

好吧好吧，這就回去改密碼行了吧？

不行，這年頭針對郵件的惡意攻擊太多了，即使改了密碼還是會被攻擊者想方設(shè)法突突突。所謂知己知彼，想要保護(hù)自己先要了解對方的招式，垃圾郵件和釣魚郵件早為大眾熟悉，本文則要探究的是魚叉攻擊郵件。

魚叉郵件是指攻擊者針對特定目標(biāo)投遞特定主題及內(nèi)容的欺詐電子郵件。相比于一般的釣魚郵件，魚叉郵件往往更具迷惑性，同時也往往具有更加隱秘的攻擊目的。

對于魚叉攻擊郵件，為何用戶容易中招呢？

360互聯(lián)網(wǎng)安全中心的安全專家們分析發(fā)現(xiàn)，這些魚叉攻擊郵件在制作手法和攻擊技術(shù)等方面通常并沒有什么特別之處，也很少采用什么新型技術(shù)，但是，卻普遍采用了社會工程學(xué)的偽裝方法。攻擊者會精心構(gòu)造郵件主題、郵件內(nèi)容及附帶的文檔名，使其極具欺騙性、迷惑性，導(dǎo)致很多用戶中招。此外，部分用戶安全意識只停留在可執(zhí)行的惡意程序上，對郵件中附帶的惡意文檔防范意識較弱。

舉例來說，2018年春節(jié)前后，一些重要的政府機(jī)構(gòu)接連收到一些帶有鏈接的魚叉郵件，誘導(dǎo)用戶點擊郵件的鏈接，并下載打開帶漏洞攻擊代碼的Office文檔；一旦用戶下載并打開文檔，則會觸發(fā)漏洞并繼續(xù)下載執(zhí)行遠(yuǎn)控木馬，這些遠(yuǎn)控木馬感染電腦后，會長期控制用戶電腦。

搞事的幕后團(tuán)伙是臭名昭著的摩訶草組織（APT-C-09），又稱HangOver、VICEROY TIGER、The Dropping Elephant、Patchwork，是一個來自于南亞地區(qū)的境外APT組織，該組織已持續(xù)活躍了8年。摩訶草組織最早由Norman安全公司于2013年曝光，該組織主要針對中國、巴基斯坦等亞洲地區(qū)和國家進(jìn)行網(wǎng)絡(luò)間諜活動。在針對中國地區(qū)的攻擊中，該組織主要針對政府機(jī)構(gòu)、科研教育領(lǐng)域進(jìn)行攻擊。

與一般的魚叉郵件將木馬文件作為附件進(jìn)行直接投遞不同，在摩訶草組織的這一輪魚叉攻擊中，攻擊者只是在郵件中放入了一個下載鏈接，誘導(dǎo)用戶自己去下載漏洞利用文檔，之后再通過漏洞利用文檔，來下載遠(yuǎn)控木馬。這種攻擊方式使得一般郵件系統(tǒng)中的反病毒引擎完全無法監(jiān)測到木馬的投遞過程。

下圖為摩訶草組織魚叉郵件內(nèi)容截圖，本就是我方在明敵方在暗，對方還這么會蹭新聞熱點，不中招太難了（攤手）。

除此之外，針對特殊行業(yè)工業(yè)企業(yè)的帶毒郵件附件陷阱也不少見。

用戶收到的帶毒郵件，其附件為針對性極強(qiáng)的誘餌文檔，大多是與該公司的技術(shù)合作或商務(wù)合作相關(guān)的文檔內(nèi)容。

如下圖帶毒郵件附件樣本。如果將其保存在電腦桌面上，表面上看起來就是一份名為“Technical Points for review.docx”的普通Word文檔。但如果點擊展開文件的文件名，就會發(fā)現(xiàn)，攻擊者在文件名中插入了很多的空格，從而利用Windows的文件名顯示規(guī)則，把真實的文件名后綴“.exe”隱藏了起來。

 

這個誘餌文檔實際上并不是一個“純粹的”Word文檔，而是一個由rar生成的自解壓程序。如果用戶雙擊打開該誘餌文檔，這個自解壓程序就會調(diào)用rar程序?qū)ψ约哼M(jìn)行解壓操作:它一方面會在c:\intel\logs目錄下釋放木馬文件“mobisynce.exe”；另一方面則會在當(dāng)前目錄下，生成一個與自己同名的正常的.docx文件；然后再在偷偷運行木馬文件的同時，打開解壓出來的正常.docx文檔，從而迷惑被攻擊的受害者，使受害者以為自己只是打開了一個Word文檔。

沒想到吧，還有這種神操作。

在誘餌文檔被打開后，可以看到，文檔標(biāo)題為“XX需要XXX公司確認(rèn)的技術(shù)問題”，正文內(nèi)容也全部都是與相關(guān)“技術(shù)問題”有關(guān)的內(nèi)容。這樣的郵件，其社工手法顯然是經(jīng)過非常精心設(shè)計和策劃的，一般人很難識破。

這僅為個例，通過對2017年魚叉攻擊郵件抽樣分析統(tǒng)計顯示，以訂單類為主題的魚叉攻擊郵件最多，占比高達(dá)39.8%，主題關(guān)鍵字涉及訂單、RFQ（Request For Quotation)、采購單、PO（Purchase Order）等。排名第二的是支付類，占比為19.4%，涉及的主題主要有Payment、Invoice（發(fā)票）、Balance Payment Receipts。

除了以上兩類，排名第三的是無主題，占比為14.7%。此類郵件缺少主題甚至正文，只攜帶惡意附件。之所以這些郵件不設(shè)置主題，主要原因有兩方面：

1） 縮短魚叉攻擊郵件制作時間；

2） 為了方便群發(fā)郵件，由于攻擊者想要攻擊的人群多樣，很難找到適合所有收件人的主題。

另外，抽樣統(tǒng)計顯示，企業(yè)最易成為攻擊者通過魚叉攻擊郵件進(jìn)行攻擊的對象，占比高達(dá)61.5%，這里所說的企業(yè)主要包括互聯(lián)網(wǎng)、IT信息技術(shù)、生活服務(wù)、批發(fā)零售等企業(yè)。

其次是金融機(jī)構(gòu)占比較大，達(dá)到了14.7%，這里所說金融機(jī)構(gòu)主要是指銀行、證券公司、保險公司、信托公司，郵件內(nèi)容及郵件攜帶的惡意附件通常是有關(guān)匯率及銀行賬單信息等。雖然攻擊這類機(jī)構(gòu)有較高的風(fēng)險，但對這類機(jī)構(gòu)的攻擊可獲取巨大的利益，因此對金融機(jī)構(gòu)得攻擊仍然占據(jù)著較大比例。

排名第三的是政府機(jī)構(gòu)，達(dá)到了7.1%，郵件攜帶的漏洞文檔一般是新聞稿、各國出臺的新政策及向政府部門提出的建議等；其次是軍事機(jī)構(gòu)和科研教育機(jī)構(gòu)，達(dá)到了5.2%和4.2%，這類攻擊通常由具有政治背景的APT組織發(fā)起，攻擊往往帶有政治目的。

“其他”類別占據(jù)了7.3%，這部分郵件攻擊目標(biāo)涉及到普通個人、醫(yī)療衛(wèi)生、協(xié)會團(tuán)體等多個方面。

說完了攻擊目標(biāo)，再來看看受攻擊地區(qū)。

從下圖的魚叉攻擊郵件攻擊目標(biāo)可以看出，受攻擊地區(qū)主要集中在亞洲、北美洲和歐洲，排名第一的是亞洲，占比為29.8%，其中主要包括中國、越南、菲律賓、韓國、日本、哈薩克斯坦、伊朗、巴勒斯坦等國。其次是北美洲，占比為23.1%，主要包括加拿大、美國、巴拿馬等國。排名第三的是歐洲，占比也超過了20%，受攻擊國家主要有俄羅斯、烏克蘭、德國、荷蘭、羅馬尼亞等國。緊隨其后的是大洋洲、非洲以及南美洲，占比分別為9.9%、8.7%、6.6%。

上圖可見全球多個國家遭受到了魚叉式網(wǎng)絡(luò)攻擊，這變相說明了此類攻擊仍然是現(xiàn)今攻擊者使用的一種主流攻擊方式，很多攻擊者通過社會工程學(xué)獲取用戶或機(jī)構(gòu)的郵箱地址，然后偽裝其相應(yīng)的主題，攜帶惡意附件，進(jìn)行攻擊。

攻擊者一般使用什么郵箱發(fā)件呢？

抽樣統(tǒng)計顯示，55.7%的發(fā)件人使用企業(yè)專用郵箱，如@tsl.com、@o2.pl、@ dhl.com、@ srwealth.biz、@web.de、@nesma.com等。這類郵箱分為兩種情況：

1） 攻擊者獲取了某個企業(yè)員工的郵箱，通過該郵箱發(fā)送魚叉攻擊郵件給企業(yè)其他員工；

2） 攻擊者直接偽造郵件發(fā)件人，以免被安全從業(yè)人員溯源。

從社會工程學(xué)上看，發(fā)件人郵箱為企業(yè)的郵箱，并配有相應(yīng)的郵件內(nèi)容，更容易取得用戶的信任。

另外44.3%發(fā)件人使用的是個人郵箱，其中Gmail郵箱比例占據(jù)較大，達(dá)到了19.3%，另外，Outlook郵箱占據(jù)了7.2%，排名第三，這是由于很多用戶為了方便，使用該類型郵箱與Office其他套件配合辦公，在進(jìn)行網(wǎng)絡(luò)攻擊時也采用了此類郵箱。最后mail.ru占據(jù)了4.4%，該類型郵箱主要在俄羅斯使用。

“其他”類別占據(jù)了13.4%，這部分主要包括yahoo郵箱、foxmail郵箱、163郵箱等。因此在這里提醒用戶對于含有附件的未知電子郵箱，應(yīng)特別小心，不要被好奇心驅(qū)動而打開附件。

本文為360威脅情報中心&論客投稿，雷鋒網(wǎng)編輯。

獲取報告原文關(guān)注雷鋒網(wǎng)宅客頻道（微信公眾號：letshome），留言“電子郵件”獲取下載鏈接。

雷鋒網(wǎng)原創(chuàng)

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。