以攻防对抗为核心—如何防御网络钓鱼(来自国家反诈的启示)

引子

网络钓鱼有哪几种

防钓鱼与反诈骗

    反诈之防骗意识之“淹没式宣传”

    反诈之安装“国家反诈APP”

    反诈之“国家反诈APP”之“来电预警守护”

    反诈之异常网站访问告警

来自“国家反诈骗”的启示——企业如何防御网络钓鱼

    意识宣导

        如何进行网络钓鱼演习？

        进行安全意识考试（不）

    防网络钓鱼策略

    发生钓鱼攻击事件后的应急响应

最后

引子

昨天处理了一个简单的钓鱼事件，同时结合最近准备攻防对抗的一些思考，简单聊一下“如何应对网络钓鱼”这个难题。

网络钓鱼有哪几种

网络诈骗钓鱼类型

• 预付金诈骗（贪）

• 帐户停用诈骗（怕）

• 伪造网站诈骗（粗心）

• …

  
  

网络攻击钓鱼方式

• 鱼叉式网络钓鱼

• 克隆网络钓鱼

• 捕鲸诈骗

• …

参考自https://www.cloudflare.com/zh-cn/learning/access-management/phishing-attack/

防钓鱼与反诈骗

2021年，国家反诈中心去年共紧急止付涉案资金3200余亿元人民币，拦截诈骗电话15.5亿次、成功避免2800余万名民众受骗。公安机关共破获电信网络诈骗案件44.1万余起，抓获违法犯罪嫌疑人69万余名，打掉涉“两卡”违法犯罪团伙3.9万个，追缴返还人民群众被骗资金120亿元。

围绕网络钓鱼的攻防对抗，本质上是人性弱点的对抗。在本质上，当前声势浩大的“反电信诈骗”和“防网络钓鱼”是一样的，国家反诈就是最佳实践，所以先来看一下国家是如何做“反诈骗”的。

反诈之防骗意识之“淹没式宣传”

对于如何提升广大群众的防骗意识，国家采用的是地毯式、淹没式的铺天盖地的宣导，无论是各种奇形怪状的口号、传单，还是“本小区本月发生xx起诈骗事件，被骗xx元”，基本上就是按住你的脑袋，从眼睛、耳朵里灌输防骗意识。

这样的做法笔者是非常认同的，虽然没有一个具体的数据来说明这样做的效果，但是从笔者自身的经验来说，在曾经被骗过一次之前，自负满满的认为自己不会被网络诈骗，然后打脸打的啪啪响（金额不大），曾经很长一段时间引以为耻。相信在看本文的读者应该也认为自己不会被骗，大忌。

反诈之安装“国家反诈APP”

相信现在没有人的手机上没有这个APP了吧，挨家挨户的地毯式安装，各种网络直播宣传等等，相当于每个人的手机上都装了一个“EDR”。

反诈之“国家反诈APP”之“来电预警守护”

为什么要在每个手机上装上反诈APP，核心作用就是和大数据威胁情报关联，当诈骗电话进线或接收短信的时候可以实时识别和预警。

反诈之异常网站访问告警

应该很多人都收到过当地派出所打电话过来说“你xx时间是不是访问了xx网站，这个网站涉嫌电信诈骗……”

来自“国家反诈骗”的启示——企业如何防御网络钓鱼

从上一小节可以看到，为了反诈骗，国家的主要手段是“意识宣导”、“覆盖EDR”、“威胁情报告警(实时)”和“网站访问日志分析(延时)”等等，这几个做法和我们日常建设防网络钓鱼基本大同小异，但是如何做好这几部分，是需要和“国家反诈中心”认真学习的。

意识宣导

总结下反诈骗的宣导，“形式多样”、“案例真实”、“题材丰富”、“高频次”、“一对一”等等，之前看到的一个演讲中也提到了同样的点，核心就在于“重复”。

在真实的企业安全环境中，在没有切实感受到钓鱼危害之前，是很难做到这点的，更多的是发一发全员邮件告诉大家小心网络钓鱼，这种做法的作用基本为零，毕竟每天来自各个团队的宣传邮件早就把邮箱填满了。

不过在企业防网络钓鱼的宣导上，比反诈骗有一个最大的优势，因为性质的不同，可以进行“网络钓鱼演习”。

如何进行网络钓鱼演习？

1. 演习必须要真实
   何为真实，就是不论是邮箱、域名、网站还是文案，都要和员工息息相关，而不是在邮件里写“我来钓鱼了”，emmm
   参考：《你好，捕鱼人》https://vipread.com/library/topic/3233

2. 全员参与（特别是TL）
   在演练结束后的复盘中，可以做到层层团队的内部宣导和复盘，我们往往对发生在身边的事件更能有体感

   
   

3. 重复重复重复
   投入资源，阶段性重复、多样性演练、复盘，直到受害者成为零

   
   

进行安全意识考试（不）

其实笔者不太喜欢考试的这种形式，但是不得不说，考试是可以让员工在百忙之中快速学习某些知识的有效手段，同时还可以比较容易的量化工作成果，这或许就是为什么现在有这么多考试的原因吧。

不过如果做好激励，也许能成为一个好的宣导方式。

防网络钓鱼策略

像“外部邮箱变色”、“URL跳转弹窗”这些方式基本上每个企业邮箱/企业IM都具备了，然后再深一点，会做“SPF IP地址验证”、“DKIM 数字签名验证”、“DMARC From地址验证”等协议验证，这些手段可以有效的防止垃圾邮件和外部恶意邮件。

但是因为业务的复杂性，往来邮件的多样，这些协议策略很难完整的上线，同时也会因为配置策略问题，存在各种绕过的可能性。

所以目前的趋势是“钓鱼邮件的智能检测”，不过这是一个大工程，目前有效的落地实践应该并不多，更多的还是在特殊时期采用特殊策略。

（图源Splunk）

（图源Fireeye https://www.fireeye.com/company/press-releases/2019/fireeye-secure-email-gateway-protects-against-threats-others-mis.html）

（《邮件防线的攻防研究实践》https://vipread.com/library/topic/3699）

发生钓鱼攻击事件后的应急响应

1. 止血
   当通过各种途径或知到某员工收到钓鱼邮件后，第一时间并行做两件事：止血该员工和获取其他收到钓鱼邮件/消息的员工列表

   
   

2. 修复
   将相关IP、URL、邮箱等恶意信息加入黑名单，同时排查为什么会绕过恶意邮件防御策略

   
   

3. 溯源
   通过相关线索进行溯源，判断钓鱼攻击类型，来决定后续采取相应措施

   
   

4. 复盘/宣导
   如果有员工中招，要重点复盘
   如果是员工主动发现，要有激励
   同时，真实的CASE一定要把握住进行宣导

   
   

最后

当然了，做了再多，人性也是永远的弱点，但是多做一点，风险就少一分。

持续对抗才是安全的魅力所在。

原文始发于微信公众号（电驭叛客）：以攻防对抗为核心—如何防御网络钓鱼(来自国家反诈的启示)