作为网络安全人员，我们都知道网络钓鱼。

发送欺诈性电子邮件以获取财务详细信息、获取帐户凭据或诱骗用户安装恶意软件，这种做法并不新鲜。事实上，在互联网广泛使用之前，人们就会经常收到一些信件，声称他们赢得了某种比赛并可以领取奖品，受害者所要做的就是寄一些现金来支付运费。

那么，我们应该都了解这些恶作剧的诡计。尤其是当网络钓鱼电子邮件通常如下所示时：

现在，有几个微妙的迹象表明这封电子邮件不是真实的。知情人士会立即意识到 HMRC 不负责支付市政税。更重要的是，即使在这个紧缩时代，HRMC 也极不可能选择 Hotmail 帐户。

然而它仍然存在

然而，事实是，网络钓鱼因为它有效而继续存在。很少有人会为了好玩而花时间起草和发送这类信息。就目前而言，网络钓鱼（和其他类型的社会工程）通常是破坏网络的最简单方法。无论您的网络安全在技术和流程方面有多好，您永远无法摆脱人性的弱点。

“但是，与我共事的人都不会愚蠢到上当受骗”。正如伏尔泰所说，“常识并不那么普遍。” 其次，我故意选择了那个轻松的例子，因为我觉得异想天开，但现在是时候认真起来了。

坏事做得好

在真正知道自己在做什么的人手中，网络钓鱼电子邮件可能对企业造成毁灭性打击。这是将勒索软件偷偷带入公司网络的第一方法。

精心设计的网络钓鱼活动可能非常复杂，远远超出了笼统的方法。知道自己在做什么的人真的会付出额外的努力，让他们的恶意电子邮件看起来合法。在这方面，拼写和语法是关键。笨拙的措辞和频繁的拼写错误是一个即时的赠品。在所有情况下，很多都归结为外表。成功的网络钓鱼电子邮件的另一个关键方面是精心研究。

有针对性的网络钓鱼

拼写、语法和精心研究。黑客收集公共资源上的大量信息。您公司的网站很可能会免费提供信息。例如，许多网站会有一个“关于我们”部分（或者更常见的是“认识团队”部分），其中列出了一些关键人员及其在公司中的职位，甚至可能还有他们的电子邮件地址。如果您的网站没有，那么 Linkedin 可能会有。

例如，一个站点可能带有 IT 和基础设施主管 Dave Smythe 的笑脸，以及联系电子邮件。如果不是，黑客现在知道 Dave Smythe 是 IT 和基础设施的负责人，然后可以从其他来源寻找详细信息。

有了这封电子邮件，他们就可以设计出一条看起来合法的目标消息，类似于可怜的老戴夫每天收到的那种电子邮件。由于收件箱异常繁忙，日程安排更加繁忙，Dave 可能不会理会一封礼貌的、来自一家所谓的技术公司的书面电子邮件，要求他“请查看随附的您最近订购的 X 订单的发票”。只是，在打开上述发票后不久，他的电脑就会通知他，他的文件已被一种恶意的勒索软件加密。

鱼叉式网络钓鱼

更进一步，利用这个电子邮件地址和可能的一个（或多个）其他地址，黑客可以沉迷于鱼叉式网络钓鱼。使用一些技巧，恶意方可以欺骗他们的电子邮件，使其看起来好像来自 Dave，而 Dave 本周过得并不愉快。这样做可以让他们瞄准公司内的其他人。

黑客可以从很多方面来解决这个问题。他们可以针对财务部门的某个人，要求他们批准向指定账户支付最新的 IT 采购费用，从而骗取企业资金。然而，更可能的情况是利用 Dave 的职位来鼓励其他员工通过恶意附件安装恶意软件，钓鱼内容可能如下：通知用户，由于 IT 问题，你们应该更改密码。他甚至会给他们有用的指导，告诉他们最好的方法。公司里每个人都信任 Dave，他是 IT 主管，所以没有理由不关注他的链接……对吧？

设计之道

它不止于此。我敢肯定我们都收到过假冒“Apple”的人发来的消息，告诉我们出于某种原因需要通过提供的链接登录我们的 iTunes 帐户。即使您没有 iTunes 帐户。这是因为很大一部分人使用 iTunes 并习惯于定期收到与之相关的电子邮件。很有可能，人们实际上并没有完整地阅读电子邮件。

正确的设计和明显的品牌甚至可以弥补糟糕的内容。可能只需要在电子邮件正文中的某个地方剪裁 Apple 徽标就可以让我们信服。那些被伪劣电子邮件说服的人不太可能质疑网站证书，邮箱发件人这些关键信息。

一封具有欺骗性的品牌电子邮件。会提供一个链接。将鼠标悬停在该链接上会显示以下内容：

现在，任何匆忙的人都不会考虑太多。看起来它可能是合法的，在一封更好的电子邮件中，这可能只有一半的说服力。这些链接的背后通常是另一半极具说服力的门户网站或登录页面。像这样例如：

信不信由你，这不是 Outlook 网络应用程序的门户。它实际上是由我们的一名渗透测试人员伪造的（已经删除了完整的 URL）。他们甚至确保它是 HTTPS。它看起来像 Outlook，它甚至在左上角说“安全”，它是绿色的。但是输入您的凭据，恶意方就可以随时访问您的网络。

不再那么可笑了

因此，一封好的网络钓鱼电子邮件将构造得很好，通常带有品牌标签，并且看起来来自可靠的来源。它将包含一个令人信服的附件或指向精心设计的欺骗性页面的链接。突然间，黑客有可能突破你所有的防御并造成一些严重的破坏。

我们都知道黄金法则“不要打开你不认识或没想到的人发来的附件”，但就像大多数规则一样，这条规则常常被完全忽视。您的企业将收到网络钓鱼电子邮件。这几乎是不可避免的。那么，为什么不打败黑客并改变自己呢？

测试你的员工

对您的组织进行网络钓鱼活动有很多好处。这听起来可能很奇怪，有点像是在说您可以通过安装勒索软件来测试您对勒索软件的反应，但请耐心等待。

就像渗透测试可以帮助您发现漏洞并发现网络或应用程序中的弱点一样，进行网络钓鱼活动可以测试您对这种形式的社会工程的脆弱性。事实上，许多公司选择将这些作为渗透测试的一部分进行，以获得更全面的安全报告。越来越多的时候，您需要注意来自内部的威胁。

您可以选择针对特定部门、远程工作人员、执行级别的员工或整个企业的每个人。通过发送带有附件或链接的精心制作的消息，您可以使用特殊工具来跟踪谁打开了电子邮件、谁回复了它以及谁点击了链接或下载了文件。这不是让您可以点名羞辱（尽管那确实是您的事），而是让您可以衡量是否需要更多培训或更严格的政策来确保您的业务安全。如果人们会犯下与网络钓鱼电子邮件打交道的错误，那么他们最好在不会造成伤害的情况下犯错。

如果您持有大量财务信息或属于客户的个人数据，则需要确保它们都尽可能安全。

原文：https://www.bulletproof.co.uk/blog/phishing