釣魚郵件指利用偽裝的電子郵件，欺騙收件人將賬號、口令等信息回復(fù)給指定的接收者；或引導(dǎo)收件人訪問特制的網(wǎng)頁，這些網(wǎng)頁通常會偽裝成和真實網(wǎng)站一樣，輸入信用卡或銀行卡號碼、賬戶名稱及密碼等而被盜取。
近日，安全公司Keepnet Labs對過去一年間41萬份網(wǎng)絡(luò)釣魚電子郵件的數(shù)據(jù)進行統(tǒng)計，發(fā)現(xiàn)電子郵件釣魚攻擊的“打開率”、“點擊率”（點擊惡意鏈接或者附件）和“轉(zhuǎn)化率”（泄露信息）都高得驚人：每2名員工中就有1名打開并閱讀網(wǎng)絡(luò)釣魚電子郵件；每3名員工中就有1個點擊釣魚電子郵件中的鏈接或打開文件附件；每8名員工中就有1名向攻擊者泄露網(wǎng)絡(luò)釣魚電子郵件中要求的信息。
此外，觀察近年來各大APT組織的攻擊過程，釣魚郵件成了一種常用的手法。它是一個絕佳的打開內(nèi)網(wǎng)通道的入口點，郵件可以攜帶文字、圖片、網(wǎng)址、附件等多種信息媒介，結(jié)合社工手段可以對未經(jīng)訓(xùn)練的人群進行“降維打擊”，而且釣魚郵件還可以做到很強的針對性，對于運維部門、企業(yè)高管等較高價值目標還可以做到精準打擊。
釣魚郵件豐富多彩多種多樣，但是主流的攻擊方式大概可以分為以下幾種：
(一)  郵件正文插入惡意鏈接
這是一種最基礎(chǔ)的攻擊方式，就是在郵件正文中放入一個惡意誘導(dǎo)鏈接，等待用戶進行點擊，鏈接后面是一個偽造的網(wǎng)站，可能是一個惡意程序下載鏈接或者一個用于偽造的登錄入口等。
誠然這種攻擊方式比較老套了，時至今日大家基本的辦公安全意識也都提高了，郵箱里面直接插入鏈接都不會輕易點擊。
但是道高一尺魔高一丈，攻擊者會利用一些近期一些熱點事件或者公司內(nèi)部信息如疫情、產(chǎn)品介紹、系統(tǒng)賬號升級等，以提高內(nèi)容可信度，誘導(dǎo)用戶點擊鏈接。
(二)  郵件附件藏毒
此類也是常見的一種，攻擊者的payload含在郵件附件里，載體有直接的文檔、圖片、壓縮包、腳本程序（exe、vbs、bat）等。
直接發(fā)送腳本程序誠然是最直接的，但是容易被郵箱安全機制攔截或者人員識破，但攻擊者會使用一些偽裝手段，如使用超長文件名隱藏后綴等。
根據(jù)ASRC 2019 年郵件安全趨勢回顧中提到的，最常用來攻擊的辦公文件為Word文件，其次為Excel文件。此類惡意文檔簡單的是利用宏代碼調(diào)用powershell進行命令執(zhí)行，高級的直接利用office等客戶端軟件漏洞。而ZIP壓縮格式較常被用來夾帶惡意文件，用于躲避郵件沙箱或者安全殺軟的直接查殺。
(三)  利用軟件漏洞攻擊
此類做法主要是使用郵件進行投遞攻擊武器，武器本身利用了郵箱、客戶端軟件如瀏覽器、office、系統(tǒng)等本身的漏洞，此類攻擊需要配合操作系統(tǒng)/瀏覽器的 0day 或者 Nday，而且需要對攻擊者使用的終端應(yīng)用軟件進行比較精準的識別，因此攻擊成本較高，但是最終的效果還是很不錯的，如利用郵箱的xss漏洞獲取了大量員工郵箱賬戶cookie信息。
其他常見利用的漏洞有windows系統(tǒng)漏洞、office漏洞、Winrar目錄穿越等。
(四)  利用郵件協(xié)議漏洞攻擊
主要利用了郵箱本身安全設(shè)置問題，若郵箱地址沒有設(shè)置spf，那么就會有人假冒真實域名發(fā)送郵件。
(五)  郵件發(fā)件人身份“偽造”
這里面?zhèn)卧旃P者使用了引號，為什么呢？這個偽造可能是使用真實的發(fā)件人郵箱身份，如攻擊者通過一些方式竊取了一些真實可信的郵箱身份。
當(dāng)然還有一些曲線救國的方式，如果通過郵箱直接攻擊B單位人員無法成功，那么攻擊B單位的上級單位或者有較強業(yè)務(wù)往來的A單位人員郵箱，然后利用B對A的可信度，偽造郵件向其索要一些敏感信息或者要求安裝一些異常軟件等。實際的對抗中聽過某攻擊隊通過此方式直接獲得了目標單位全員信息（姓名、電話、郵箱、住址）。