钓鱼攻击类型与防御策略

说起来有点讽刺——很多安全团队把大把预算砸在EDR、防火墙、蜜罐上，结果公司财务还是因为一封伪造的“CEO紧急转账请求”邮件转了八十万。钓鱼攻击从来不是技术多高深，而是它精准地打在人性脆弱点上。

钓鱼攻击的常见面孔

钓鱼攻击远不止“垃圾邮件里点了个链接”这么简单。根据攻击目标的不同，它们可以粗分为几类：

• 鱼叉式钓鱼（Spear Phishing）：攻击者花两三天研究目标员工的社交账号、公司架构、近期项目。然后伪造一封来自“合作方张总”的邮件，附件里夹着伪装成报价单的恶意宏。中招率极高，因为邮件内容细节完全对得上。
• 克隆钓鱼（Clone Phishing）：把一封你曾经收到过的合法邮件（比如快递通知、发票确认）整个复制下来，仅将链接或附件替换成恶意版本，再发给你。因为邮件历史可查，很多人直接点击。
• 捕鲸（Whaling）：直接瞄准CEO、CFO等高管。邮件往往带有法律威胁或财务紧急事态，利用高管决策权大、审批流程快的特点。2016年FACC公司被骗走约4000万欧元，CEO随后被解雇。
• 语音钓鱼（Vishing）：通过电话或语音消息冒充IT支持、银行客服，诱导受害者说出验证码或转接敏感系统。去年一位员工接到“微软安全部门”的电话，对方口音、术语都很专业，结果授权了远程控制。

防御策略：从过滤走向验证

防御不能指望员工个个火眼金睛。最有效的策略是“技术拦截+流程固化+意识训练”三层叠加。

第一层：基础设施过滤 部署SPF、DKIM、DMARC三件套，从源头上阻断仿冒域名发来的邮件。启用沙箱分析附件，对URL进行实时重写检测。据统计，正确配置DMARC可以拦截约70%的直接仿冒邮件。

第二层：流程切断 哪怕是熟人邮件、高管指令，只要涉及资金划转、权限变更、敏感信息导出，必须走双人审批或电话二次确认。把这个写入SOP，不执行就视为违规。这条流程救过很多公司——财务打电话确认时才发现“老板正在开会，根本没发过邮件”。

第三层：模拟训练与容错 定期给全员发送模拟钓鱼邮件，但不要只惩罚点击者，而是要分析为什么中招。是邮件内容太逼真？是员工当时在赶工没细看？还是业务系统不允许超链接被拦截？把每次模拟变成一次防御补丁。另外，建立“快速报告机制”：员工一旦发现可疑邮件，一键转发给安全团队，后者在几分钟内判定是否启动应急隔离。报告者反而获得奖励，形成正向循环。

一个常被忽略的细节

攻击者现在会用社会工程与技术的混合拳。比如先通过LinkedIn获取目标部门架构，再用“内部云盘更新”邮件引诱点击，拿到cookie后绕过MFA。防御策略也需要动态对齐：随着攻击手段演化，定期重检你的验证规则。“已经这么干了五年”不应成为不更新的理由——毕竟钓鱼者每年都在进化。