央视|警惕钓鱼邮件窃密：奇安信揭秘攻击过程

国家安全机关今天通报，近年来，境外间谍情报机关频繁使用钓鱼邮件的手段开展网攻窃密，目标直指我党政机关、国防军工单位、高校、科研院所等核心要害部门，试图窃取重要敏感领域信息，威胁我国国家安全。

国内某知名大学前沿科技领域专家杨教授，某日在工作邮箱中看到一封标题为《研究申请》的邮件，一位自称小王的人想要申请报考他的研究生，但内容措辞十分模糊。杨教授随即让对方补发一份简历。很快，对方就将一封名为简历的加密文档用邮件发了过来，并附上了密码。杨教授打开了文档，但其中内容显示，这个自称小王的人并非在校学生，专业也不对口，为什么要报考自己的研究生呢？为了弄清对方的目的，杨教授发信询问对方具体想研究什么领域，对方回复舰船装备。这一回答加深了杨教授的怀疑，他判断对方极有可能是打着学术研究的幌子，意图套取我国舰船装备领域的敏感数据资料。

杨教授当即联系了学校保卫部门负责人，并第一时间向国家安全机关反映。国家安全机关发现，该邮件带有双重窃密目的。

境外间谍情报机关企图以研究申请邮件名义定向勾连，套取我国国防军工领域的敏感信息。邮件名为简历的附件，实际内置了境外间谍情报机关专研的木马程序，一旦目标对象打开文档，便会触发木马程序，攻击者可轻易控制该计算机并任意窃取其中的数据资料。由于杨教授在日常科研工作中严格遵守保密管理要求，并未在该计算机中存储任何敏感信息，避免了失、泄密情况发生。

那一封钓鱼邮件是如何成为窃密工具的呢？此前，总台央视记者在北京的奇安信安全中心的网络安全实验室模拟了一次窃密过程。

记者：工程师准备了两台电脑，为我们展示一场简单的网络攻击。

我现在使用的就是受害者机器。在日常办公的时候，我们可能会收到伪装成上级部门或者是兄弟单位发来的这种邮件，里边一般会附带一个链接。当我们点击这个链接的时候，就会自动下载一个压缩包或者是相关的程序。一旦点击里边的文件，这种时候实际上我们的电脑在后台就已经被攻击者的那一方植入了木马病毒。

网络安全工程师：当受害者电脑点击了钓鱼邮件中的附件之后，在攻击者的机器上就可以看到受害者机器已经上线了。上线就意味着这台机器已经被植入了木马。我们可以对这台机器进行一些控制，可以对受害者机器进行文件浏览，调取受害者及其桌面上的所有文件，并且可以在这里直接下载。

除了窃取文件，攻击者还可以在受害者不知情的情况下，通过各种指令和工具，盗取受害者电脑中存储的浏览器数据、软件密码等等，甚至实现对受害者电脑所有的键盘输入内容进行监听，窃取更多信息。

网络安全工程师：像这个指令就是开启了对受害者机器的一个键盘监听。就像你刚刚打开了一个记事本，这里就记录了你刚打开了一个记事本，它是可以告诉你这个人在什么途径下输入了什么东西。包括你跟你的同事或者老板聊天，聊了一些比较机密的业务的信息，都可以看到。

网络安全专家介绍，一旦电脑被攻破，不仅是个人信息安全受到威胁，如果这台电脑与某个办公局域网连接，攻击者在条件允许的情况下，还可以以这台电脑为跳板，进而攻击到整个局域网内的所有电脑。

实际上呢，网络钓鱼作为境外间谍情报机关实施网络攻击、窃密的主要手段之一，成本低廉，手法隐蔽，危害性强。那对此，我们应当如何防范呢？

对个人使用的电脑来说，大家要记得安装、使用杀毒软件，定期查杀木马，及时升级软件，安装操作系统补丁。不安装可疑程序或打开未知来源文件，不访问非法可疑网站。使用U盘等移动存储介质前进行杀毒。不轻信网络弹窗内容，查阅邮件的时候注意甄别发信人身份，不点击陌生可疑邮件，避免公司邮箱混用，不使用邮箱传输内部资料，及时注销已经停用的邮箱账户。

除了电脑之外，大家日常使用的手机同样需要防范那些伪装仿冒成正规软件的恶意软件。不要安装来源不明的软件，不要扫描来历不明的二维码，也不要轻易点击陌生信息里的网络链接。

同时，在使用手机软件时要关闭不必要的权限要求，并定期进行病毒查杀和漏洞修复，及时更新系统和应用程序版本。

网络安全专家：这些APP一旦是由境外人士提供或者开发、组织的，在这些APP获取这些权限后，我们的手机可能就在不知不觉中变成了别人获取我们这些信息的终端。如果我们途经或者停留一些重要的地方、地点的时候，那我们这些信息就可能被这种APP获取。经过大数据分析，就进而形成一种情报，就有可能会威胁到我们的国家安全。

如果大家发现了相关可疑情况，可以及时通过12339国家安全机关举报受理电话、网络举报平台等渠道进行举报。

原文始发于微信公众号（奇安信集团）：央视|警惕“钓鱼”邮件窃密：奇安信揭秘攻击过程