反网络钓鱼策略为何不起作用

Protiviti公司的总经理兼全球实践领导者Krissy Safi表示，网络犯罪分子为了诱骗人们的敏感信息，正在不断开发新策略，这使得钓鱼攻击变得更加复杂了。

Safi说：“许多反钓鱼解决方案会使用静态规则来检测钓鱼攻击，但攻击者能使用更先进的技术轻松绕过此等防御。同时，随着ChatGPT的推出，那些语法完美、英语流利的钓鱼电子邮件将会大量激增，因此识别是否是攻击者发送的钓鱼邮件变得更为困难了。”

自ChatGPT和开源版本可供犯罪者使用后，公司被盗的通信内容成为了攻击者的突破口：AI可以实时了解哪些交流内容有效，哪些无效。这大大增加了受害者会中招的机会。

而相关调查发现，即使没有聊天机器人，攻击者也变得越来越狡猾了，以2022年云通信公司Twilio被入侵为例，Twilio在此次事件报告中表示：“攻击者先成功骗取了员工的一些证书，比如号称自己是某某机构的，需要证书来证明员工的考试或学习经历。接着，攻击者使用公开可用的数据库匹配员工在证书上的姓名和电话号码，然后攻击者再使用这些窃取到的凭据访问组织的内部系统，从而得到了相关的客户数据。”

Linda表示，许多组织正试图仅用技术来解决钓鱼问题，巴黎泰雷兹集团（Thales Group）的CISO埃里克·利博维茨（Eric Liebowitz）对此表示赞同，他说部分公司购买了所有最新的安全工具来检测可疑的电子邮件，他们还为员工提供了能阻止可疑电子邮件的策略。Liebowitz说，虽然这样做没啥问题，但我们要记住的是，攻击者总是会变得更加阴险。

Liebowitz说：“其实最重要的还是把员工培训好，组织只拥有最好的工具是不够的，如果不能把培训质量提升，只是将方案提供下去，那最糟糕的结果还是会产生。”

埃维诺北美安全主管执行官贾斯汀·哈尼对此表示，还有一些组织也部署了各种工具，并制定了工作流程来预防钓鱼攻击，但他们没能将这些工具配置好，没能让这些工具运作起来，说到底就是如同虚设。

“比如，工具可以标记和检测恶意电子邮件，但却不会自动阻止。在使用SIEM（安全信息和事件管理）和SOAR（安全协调、自动化和响应）技术时，组织应部署特定的行动手册，以应对已识别的潜在钓鱼攻击，而不是将这些工作内容交给人工处理。”

哈尼指出，一些反钓鱼方案之所以会失败，是因为组织没有采取全面的深度防御策略。他说：“组织可能过于专注了特定的技术，比如电子邮件反钓鱼、多因素身份验证、数据加密、端点/移动安全等，而忽视了其他与网络攻击链一起降低风险的技术，比如检测泄露身份等。”

Lexmark CISO Bryan Willett对此表示，如果不实施全面的纵深防御策略，而仅仅只靠反钓鱼程序，那么攻击者只需要成功一次，就可以摧毁整个系统。只依赖基于电子邮件的防御方法或只依赖于用户培训，此二者皆有缺陷，因为人本就容易犯错，而攻击者只需一次成功即可。

Willett表示，防御网络钓鱼攻击的最佳方法是采用分层防御，其包括在每个工作站上都要有良好的端点检测和响应（EDR）系统，还需要具备强大的漏洞管理程序，为每个用户和管理员帐户启用多因素身份验证，以及在LAN/WAN上实施分段，用来限制受感染系统的传播。

Willett补充道：“通过实施此类多层防御，组织可以最大限度地防范网络钓鱼攻击。对组织而言，必须先假设攻击者会在某一时刻取得成功，之后围绕此假设再使用全面和分层的防御方法，这样才不会措手不及。”

纽约哈里森曼哈特维尔学院（Manhattanville College）首席信息官吉姆·拉塞尔（Jim Russell）表示，尽管组织在培训员工时，会告知不要点击未知发件人的电子邮件，包括其内的链接或附件，但只是如此还不够，组织还必须教育员工如何识别欺诈邮件。

拉塞尔说：“我们在培训中会强调‘日常用语的真实性’，这是识别欺诈电子邮件最重要的因素之一。对大多数人而言，我们在交流时会用到习惯性的用语和措辞，比如我们会寒暄、会客套，像‘嗨，劳伦，最近忙吗’，‘吃过饭了吗？’，这些都是典型的对话用语。因此，如果缺少这些元素，就意味着缺乏真实性。”曼哈特维尔学院的员工接受过这样的培训，因此其他组织可以将任何可疑的邮件转发给拉塞尔的团队，他们会帮助组织识别邮件的真实性。

Dell Technologies CISO Kevin Cross对此表示同意，他认为反网络钓鱼策略需要从提高员工识别钓鱼邮件的能力，包括让他们懂得如何报告此等事件开始着手，而这种培训方向和许多组织所谓的“不点击策略”有所不同。克罗斯说，让员工做到零点击率是一个不切实际的目标，相反，教员工如何报告可疑电子邮件，这可以让安全团队快速评估潜在威胁，同时组织可以在电子邮件平台中嵌入工具，让员工们更容易报告。

然而，咨询公司Mazars安全业务的主管Jacob Ansari表示，这样的培训还是不够深入。他说：“大多数反钓鱼策略不具备有效性，因为这些策略针对的是用户行为，而用户行为是最不可预测的，所以只有当网络钓鱼计划与合法的商业活动相区别时，培训用户识别网络钓鱼攻击才有意义。也就是说，当员工不得不面临和网络钓鱼攻击类似的活动时，任何反网络钓鱼策略都会失败。”

比如某公司要求用户点击第三方发送的链接来完成背景检查，或用户在托管的web表单上输入个人信息就可以获得福利等，这些都是常规的商业运作方式，而正是这些习惯，会大大降低反钓鱼培训的价值。

Ansari表示，除了培训外，企业要和业务领导们合作，重新设计业务流程，尽量减少电子邮件中需要点击链接的情况，同时可以使用其他方式和员工们通信，让通信过程和钓鱼攻击时所接触到的场景有所不同。“组织还需要确保人力资源、营销和财务等部门，会以适合的方式与第三方进行通信，他们这些部门也是业务的一部分，如果在他们的通信上处理不当，一样会泄露出去重要的内部信息。”

Safi表示，即使一家公司制定了强有力的培训计划和政策，但如果对违反政策的员工没有任何作为，那这些培训也不会有效的。比如某员工碰到了钓鱼邮件却没有报告，那么组织就应该执行相应的惩罚措施，这样才能让大家重视起来，其他员工才会引以为戒。

拉塞尔说，在曼哈顿维尔学院，那些被钓鱼邮件成功攻击过的员工，必须在十天内完成一定数量的在线培训，如果培训不过关将影响到他们的业绩。“而对于企业内部的高管们也是一样的处理，因为他们比普通员工更重要，他们的权限也比其他人更高，甚至可以说钓鱼攻击的目标就是这些高管，所以高管才应该是培训的重点对象，高管更应该被规范行为。如果高管没能通过安全培训，希望各组织能够一视同仁。”

凯捷网络安全服务主管苏希拉·奈尔（Sushila Nair）表示，反网络钓鱼策略还有一个致命弱点，就是有些公司的目标是要将员工训练成百分之百无误。她说：“虽然遭受网络钓鱼攻击的员工应该受到指责，但企业还是得扪心自问：‘我们是根据什么标准在衡量员工的应对能力？该标准难道要求的是所有员工都得完美地通过钓鱼模拟测试吗？’”

Nair补充道，如果测试是复杂的，那么会有更多的人失败，培训给人感觉就会是毫无作用的；而如果测试是容易的，那么每个人都会以优异的成绩通过，但这样的培训又有何意义呢？所以，对于CISO来说，在董事会会议上提出“无误性指标”是一种错误，CISO必须让领导们接受这样一个事实：即无论公司对员工进行了多少培训，始终会存在一部分人点击不该点击的链接，而这样的情况随着经济压力增加会变得更多。

Nair说：“更糟糕的是，许多组织在进行模拟测试时，会在潜移默化中将‘点击链接’变得常态化。员工不小心点击了一个链接，然后场景一变，发现新的网站上写着：‘该死，你被愚弄了。’类似于这样的模拟测试相反会产生负面效果，员工可能会更频繁地点击链接。为什么？因为在繁忙、紧张的工作环境里，大多数人没有闲工夫去顾及那些所谓的测试，而如果谁不小心点击了某个链接，因此被要求培训，这就会让人对培训产生厌恶心理，那么在这种不情愿的情况下，所有人想的都是尽快完成培训，长此以往，培训效果达不到，对测试也会变得麻木。”

Nair补充道：“除此之外，测试还会影响人们对钓鱼邮件的态度，比如员工看到了一封奇怪的电子邮件，他们会认为这是一次测试，所以也就不向上报告了。”

伯尔&福尔曼律师事务所（Burr&Forman LLP）数据隐私团队联合主席伊丽莎白·雪莉（Elizabeth Shirley）表示：“企业面对钓鱼攻击就像安全团队面对威胁，首先要确定的是，没有完美的防御，总会有被攻破的一天，因为系统无法面面俱到，在攻击面上总有遗漏，同理，员工行为也是一样，总会有某个场景促使人去犯错。所以企业要做到的是，在完善培训的同时把被‘攻破’后的损失降到最低。”

对于该如何更好地防范钓鱼攻击，国内安全专家如此建议。

某互联网企业安全专家赖东方表示，攻击者会充分利用被泄露的信息。这些信息未必是从对应的企业泄露出来的，甚至可能是造假数据。但是大部分人和企业都被泄露过信息，黑产通过数据聚合提炼出更加精准的钓鱼目标和攻击场景。

此外，对钓鱼攻击的防范不能只考虑到员工，还要考虑到用户。在某些行业，用户被钓鱼的案例比企业员工案例要多得多。企业可以结合被黑产利用的环节来保护用户，比如在敏感操作中增加安全提醒，在被利用的环节增加校验或优化逻辑。风控也很重要，恶意账号和受害者账号都要有风控来把关，发现事件后要有应急响应避免风险扩散。

赖东方还特地指出，钓鱼攻击的某些环节问题不是企业自己就能解决的，而是需要政府部门或各行业来一起推动，对此他简单列出三点建议：

广电运通安全负责人姜超华表示，目前接触比较多的是邮件钓鱼，短信钓鱼，而且都是发生在身边的真实事件。

从以上两个案例来看，姜超华表示，钓鱼是目前普通人能够接触到的最为直观、最有感知的网络攻击手段了，且钓鱼是一种性价比极其高的攻击手段，除了提高普通人对钓鱼的防范意识之外，对重要的服务器做针对钓鱼的安全防护也是非常必要的

对此，姜超华提出，安全防护虽然不一定能做到100%，但是什么都不做会遭受巨大损失。特别像钓鱼邮件这样的常规攻击手段，只要花很小的代价就能让攻击者的攻击收益率极具下降，从而达到规避绝大多数攻击的目的。

“因此我觉得对于网络钓鱼攻击来说，一个非常小的安全投资就能带来安全性的巨大提升。网络安全的投资非常适合木桶理论，花很小的钱就能补齐一大块短板，投资收益率最高；但是如果想把木桶完全补齐，则会面临后期花钱逐渐增多但收益率却反而急速下降的情况，在此如何取得平衡则非常重要。”

最后，某金融科技企业安全专家胡恺健表示，现今的网络钓鱼花样繁多，但不外乎都是利用人性弱点实现社会工程学把戏。攻击者通过仿冒、欺骗、诱导等手段与受害人套近乎、伪装成潜在投资人或客户假装商业交流，从而获取受害者信任。目前不少网络钓鱼攻击都会通过IM聊天工具实施，胡凯健特地为此介绍了Telegram和LinkedIn的最新钓鱼手段。

■ Telegram连环盗号：

1.如果你的Telegram账号隐私设置是“任何人可见”的情况下，攻击者首先通过添加好友，获取你的电话号码；

2.以各种理由使你认为账号存在问题，骗取你的聊天截图以获取你的登录验证码。这个原理是因为收到短信验证码时，Telegram会默认置顶验证码到程序的顶部，截图时就可以看到这条短信验证码了；

3.当你把包含登录验证码的聊天截图发给对方，又没有开启两步验证的情况下，攻击者可以登录你的账号，删除所有设备，更改密码，并且继续欺骗通讯录中的其他人。

■ LinkedIn钓鱼：

在LinkedIn寻找公司高层的联系方式，伪装成潜在投资人、客户在LinkedIn直接与高层展开对话。通常攻击者都会事先掌握受害人的行情背景信息，以便在聊天过程中取得信任。最后会以“发送一些公司资料给你看看，后面看看有没有合作机会”为由将带病毒木马的文件给到受害人，只要受害人打开，电脑就被控制了。

对于Telegram，胡凯健建议可以做如下安全和隐私加固，降低被成功攻击的风险：

1.启用隐私安全设置的Passcode Lock，切换进程后需要输入密码才能进入程序；

2.启用2FA（两步验证），防止密码窃取、爆破或换卡攻击；

3.设置隐私，不开放电话号码；

4.在必要的情况下，可以通过识别 account，channel，bot，group 中的唯一ID号来验证对应对象合法性；

5.查看有效登录会话，通过设备设置进入对应页面，可以看到自身账户的已登录会话和设备，一旦发现可疑设备登录或会话，应即时提高警惕。

世间所有诈骗针对的都是“个人行为”，网络钓鱼也一样，诱骗的是让人点击邮件或链接，所以企业在针对个人行为的培训上要强调流程和制度，要规范查看不同邮件时的行为和报告顺序，尽可能将邮件“分级分类”。另一方面，对个人而言，在涉及到邮件通信时要提高警惕，特别是在公司内部，多问总比多错要好。