如今，网络钓鱼攻击已经成为目前最常见且成功率极高的攻击手段之一，伴随企业及个人用户针对防护网络钓鱼攻击策略的调整，网络犯罪分子也随之更新其攻击方式，鱼叉式网络钓鱼技术“应远而生”。不同于传统网络钓鱼攻击的“广泛撒网”，鱼叉式网络钓鱼主要利用个性化诈骗方法以特定个人为攻击目标，具有易利用、实施成本低、高精准度、强隐蔽性等特点。

安全419关注到，近日Barracuda联合Vanson Bourne共同发布了《2023鱼叉式网络钓鱼趋势报告》。此次报告分析了近3000万封鱼叉式网络攻击电子邮件并结合全球1，350名IT专家的调查结果编制而成。

一、鱼叉式网络钓鱼是什么？

鱼叉式网络钓鱼是针对某特定组织内部的个人或团体进行的高度个性化的电子邮件攻击形式。黑客会在攻击前投入大量的时间去了解目标，并利用社工手段收集相关信息，使邮件模板更加成熟、精准且具有较强的欺骗性。

由于大多数传统的电子邮件安全技术依赖于黑名单或信誉分析，而鱼叉式网络钓鱼多通过信誉良好的域或已经受损的电子邮件账户发送，能够绕过网关或垃圾邮件过滤器等安全措施，极难被察觉。此外，还会冒充以前攻击中未使用过的URL或已被劫持的合法网站的URL，这些URL难以被防护技术识别，一旦用户点击，恶意程序/病毒就会立即执行，为黑客的进一步渗透攻击做准备。

网络犯罪分子还会在其鱼叉式网络攻击中利用社会工程策略，包括紧迫性、简洁性和压力等，来增加诱骗成功的可能性。

二、Barracuda对2022年鱼叉式网络钓鱼攻击的调查与分析

在对350万个邮箱的500亿封电子邮件的分析中，Barracuda研究人员发现了近3000万封鱼叉式钓鱼电子邮件。每个企业平均每天大约会收到5封鱼叉式网络钓鱼邮件，总计每年超过1700封。此外，鱼叉式网络钓鱼邮件的平均点击率为11%。虽然鱼叉式网络钓鱼邮件占比不到0.1%，但当攻击成功时，相比于占比16%的垃圾邮件和恶意软件，其破坏程度更大、影响范围更广。根据IBM的数据，2022年，由商业电子邮件泄露造成的数据泄露事件的平均成本接近500万美元。

1、五种主要的鱼叉式网络钓鱼攻击类型

（1）诈骗

诈骗占分析的鱼叉式网络钓鱼攻击类型的 47%，是最常见的攻击方式。诈骗攻击采取多种形式，但其目的都旨在窃取私人、敏感和个人身份等信息，例如银行账户、信用卡等。攻击者使用各种诱饵，如彩票中奖、无人认领的包裹、虚假的招聘信息、捐款请求或其他策略来引诱受害者披露信息，以进行下一步攻击行为。

（2）勒索

勒索攻击占鱼叉式网络钓鱼攻击的3%，大多数勒索攻击都是性骚扰电子邮件威胁。网络犯罪分子声称拥有受害者电脑中的敏感视频、图像或其他内容，并威胁如果不交付赎金就将内容传播给所有电子邮件联系人。勒索金额求通常从几百美元到几千美元不等，大多需要比特币支付，导致后续很难追踪调查。

（3）品牌冒充

这种冒充知名公司或常用商业应用程序的攻击方式占比42%，通常用于窃取账户登录信息或窃取个人身份信息，如信用卡和个人信息号码等。

（4）对话劫持

对话劫持，也被称为供应商假冒，占比仅0.3%。攻击者根据受害者电子邮件账户或其他来源收集的信息，将自己插入现有的商业对话或发起新的对话，并向关键个人发送虚假发票和电汇请求。

对话劫持通常是账户接管攻击的一部分，攻击者使用网络钓鱼攻击来窃取登录凭据并破坏企业账户，之后实施监控，阅读受感染收件箱中的电子邮件并观察新邮件的传入，以明确企业业务运营以及正在进行的交易、付款程序和其他详细信息。攻击者利用这些信息（包括员工、合作伙伴和客户之间的内部或外部对话）来制作新消息，最后从虚假域名发送消息，以诱骗受害者汇钱。

（5）企业电子邮件泄露

也被称为商业电子邮件破坏、捕鲸或电汇欺诈，虽然占比只有8%，但已造成数十亿美元的损失。攻击者通过冒充CEO、高级合伙人或其他决策者，向企业内较低级别的人、合作伙伴和客户发送信息，诱使其泄露敏感信息，如电子邮件或管理帐户凭证、商业机密、公司信用卡号等。

网络钓鱼攻击的主要目的在于接管账户，黑客使用社会工程策略诱骗用户披露登录凭据，然后这些凭据被用来进入企业系统。一旦进入，黑客就可以在系统内部横向传播，窃取更具价值的信息，或将泄露的账户信息用作进一步攻击的跳板。

据Barracuda数据显示，2022年，近四分之一的企业至少有一个电子邮件账户因账户接管而受损，平均每一个邮件账户被入侵，就会有370封恶意电子邮件从受感染的账户中发出。

三、鱼叉式网络钓鱼攻击的严重性和恢复成本

四分之三的受访者表示他们在过去12个月中成为了电子邮件攻击的受害者，其中近一半是鱼叉式网络钓鱼的受害者。这意味着，每3个成功的电子邮件攻击中，就有2个是使用个性化信息、社会工程或其他策略的鱼叉式网络钓鱼攻击。

虽然该攻击方式仅占网络钓鱼攻击事件总数的0.1%，但却造成了66%的违规行为。由此可见，制定鱼叉式网络钓鱼防护措施至关重要，因为一次成功的攻击就可以造成毁灭性的后果。

此外，数据显示，小型企业遭到社会工程攻击的次数更高，但Barracuda认为这个数据相对模糊。由于中小型企业并没有足够的安全资源，无法构建有效的邮件过滤或其他防御措施，无法及时识别恶意软件，许多用户甚至没有意识到其收件箱中已经存在了大量威胁。

同时，根据Barracuda近期的市场调查数据显示，使用Gmail的企业比使用Microsoft 365的企业更有可能成为鱼叉式网络攻击的受害者，在受访的使用Gmail的企业中，有57%都遭到了鱼叉式网络攻击，而使用Microsoft的企业只有41%。这可能是因为，在Microsoft的环境中，有更多安全选项可用于分层防护，可以提供更好的保护。

鱼叉式网络钓鱼攻击的严重性

与其他网络攻击类似，鱼叉式网络攻击的受害者会遭到恶意软件感染、数据被盗和声誉受损等影响，其中直接的财务损失是主要影响之一。窃取凭证也是网络攻击的一个主要目标，越来越多的攻击者依靠鱼叉式网络钓鱼来获得访问权，然后执行账户接管攻击。在过去12个月内报告成为鱼叉式网络钓鱼攻击受害者的人中，近一半的人是被盗登录凭证或账户接管的受害者。

鱼叉式网络钓鱼攻击的恢复成本

据受到鱼叉式网络钓鱼攻击的企业称，去年，与电子邮件安全漏洞相关的成本大幅增加，占修复总成本的28%，而非鱼叉式网站钓鱼受害者只占15%。同时，这些企业的损失和恢复成本平均为110万美元，而其他类型电子邮件攻击的受害企业平均为760.82美元。

有93%的企业每天都会收到异常邮件

平均每家企业每天都会收到10封异常电子邮件

按照地区划分，印度地区用户平均每天报告的异常电子邮件数量最高，比全球平均水平高出 50%，一是可能该地区企业更加关注异常电子邮件，二是可能该地区用户报告了大量灰色邮件而非恶意电子邮件。

全球有7%的企业没有用户报告任何异常电子邮件，在欧洲德语区和澳大利亚，这一数字尤其高，占比达到了14%。此外，这两个地区计算机安全意识培训的采用程度也低于平均水平，全球平均水平为42%，欧洲德语区为37%，澳大利亚仅为28%。安全意识投资的减少可能会导致用户的警惕性降低，识别潜在电子邮件威胁的能力也会下降。

从比例上看，大型企业用户报告异常邮件的数量较少

根据上图数据显示，拥有100-249名员工的企业平均每天上报7封异常电子邮件，而在拥有1,000-2,500名员工的企业，平均每天仅上报12封。相比于，拥有丰富安全资源、可以快速确定事件响应优先级、及时过滤恶意邮件的大型企业，小型企业处理潜在威胁的能力更低，风险指数更高。

此外，远程员工人数超过50%的企业，平均每天上报12封异常电子邮件，而远程员工人数少于50%的企业每天只有9封。这是因为，远程终端的分散性导致攻击面扩大，拥有较大远程劳动力的企业对潜在威胁更加敏感。

同时，遭受三起或三起以上勒索软件攻击的企业，平均每天上报17封异常电子邮件。在遭受勒索软件攻击后，企业员工的安全意识可能会提高，导致用户对于异常电子邮件的敏感度提升。

四、威胁检测与响应

（1）平均而言，企业需要花费近100个小时来识别、响应和修复电子邮件攻击。

其中，五分之一（22%）的企业需要24小时以上才能识别电子邮件攻击。在这个时间内，用户极有可能点击恶意链接或回复电子邮件，可能导致计算机、手机等终端设备被窃取信息或远程控制。有38%的受访者还表示，一旦遭到攻击，企业还需要24小时以上来响应和修复攻击事件。

（2）自动化措施和安全培训可以缩短事件响应时长

数据显示，澳大利亚平均需要176小时才能完成事件检测和响应，其自动化事件响应的低采用率（24%）和安全意识培训的不充分是其主要影响因素。而美国有36%的企业使用自动事件响应，45%启动了网络安全意识培训，其平均响应时间更短，这意味着，企业对IT资源需求更小，能够将资源用于企业的其他建设。

（3）拥有更多远程员工的企业检测和响应的时间更长

拥有更多远程员工的企业需要更长的时间来检测和应对电子邮件安全事件。远程员工不足50%的企业，平均检测时间为36小时，而远程员工超过50%的企业，平均需要55小时才能检测到电子邮件安全事件。补救时长同样如此，远程员工少于50%的企业，平均响应和缓解的时长为51小时，而远程员工超过50%的企业，平均需要63小时来响应和缓解一个电子邮件安全事件。

（4）缺少自动化是首要障碍

数据显示，有41%的大型企业（员工人数超过 250人）认为缺乏自动化是对事件快速作出响应的最大影响因素，而中小型企业（员工人数在100-249 人）则认为缺乏可预测性（29%）、员工缺乏安全知识（32%）和适当的安全工具（32%）是主要影响因素。事实上，由于规模较小的企业缺乏充足的安全研究人员，因此会更愿意使用自动化工具，缩短安全响应时长。

五、防范鱼叉式网络钓鱼的最佳实践

随着网络技术的不断发展，攻击者的伪装手段变得愈发狡诈，鱼叉式网络钓鱼攻击愈加活跃，对企业内部业务安全、信息安全防护都带来了巨大风险，如何准确识别攻击者的各种诈骗花招，保护企业和员工的关键信息安全已经成为大多数企业的重要任务。

（1）充分利用人工智能

拥有检测和防范鱼叉式网络钓鱼攻击（包括企业电子邮件泄露、假冒和勒索攻击）的解决方案至关重要，部署机器学习工具可以准确分析企业组织中的通信模式，及时发现异常迹象。

（2）实施账户接管保护措施被破坏的

通过人工智能技术建立预防措施，在账户遭到攻击后主动接管账户，向用户发出预警并及时删除从该账户发出的恶意邮件，进行实时补救。

（3）识别可疑登录并监测收件箱规则

使用相关技术识别可疑登录活动，如异常IP地址。另外，恶意收件箱规则常见于业务电子邮件泄露 (BEC) 和网络钓鱼活动中，企业需要实时监测收件箱操作规则参数，及时修正。

（4）采取多因素身份验证

多因素身份验证为传统的基于密码的身份验证过程增加了一层额外的保护，降低了未经授权访问的风险，强化了账户的安全性。

（5）实施DMARC身份验证和报告机制

基于域的邮件身份验证、报告和一致性（DMARC）适用于发件人策略框架（SPF）和域密钥识别邮件（DKIM），用于对邮件发件人进行身份验证, 并确保目标电子邮件系统信任从发送的邮件您的域，以防止域名欺诈和品牌劫持这两种假冒攻击中最常用的手段。

（6）自动化事件响应。

自动化整个安全事件响应流程，包括事件检测、分析、响应和修复，可以提高响应速度、减少人为错误，并确保一致的安全措施。

（7）提高员工安全意识

将鱼叉式网络钓鱼攻击作为安全意识培训的一部分，确保员工能够识别攻击，了解其欺诈性质，及时上报异常电子邮件。

（8）最大限度地防止数据丢失

将技术解决方案和企业相关规定策相结合，以确保含有机密或敏感信息的电子邮件能够得到充分保护，杜绝信息外泄的可能性。