釣魚郵件指利用偽裝的電郵，欺騙收件人將賬號、口令等信息回復給指定的接收者；或引導收件人鏈接到偽造釣魚頁面，這些網頁通常會偽裝成和真實網站一樣，如銀行或理財的網頁，令登錄者信以為真，輸入信用卡或銀行卡號碼、賬戶名稱及密碼等而被盜取。

常見的釣魚郵件攻擊方式一種是直接通過二維碼、內嵌鏈接、直接索要敏感信息等方式釣運維人員、內部人員相關系統管理賬號密碼，另一種通過攜帶exe、excel、word等附件（附件中要么包含惡意代碼、宏代碼，要么是遠控exe）的方式，誘導運維人員、內部員工點擊相關的附件，以達到控制運維人員或者內部員工電腦的權限。

郵件釣魚大致分為以下六類：

1、仿冒郵件：通過自己構建的發件服務器，可以實現隱藏真實發件人信息，偽裝成知名企業內部郵箱進行對外發件。當遇到這種“高仿”郵件，收件人不經確認很容易掉入陷阱。

2、鏈接釣魚郵件：“你收到一封系統升級通知，點開鏈接立刻升級”，這類釣魚郵件也很常見，攻擊者在郵件內直接嵌入釣魚鏈接，點開鏈接便是以假亂真的釣魚網站，這類網站通常會要求用戶輸入賬戶信息之類以獲取用戶敏感信息；另一種鏈接指向的網頁暗藏木馬程序，用戶點開的同時就中招了。

3、附件釣魚郵件：這類釣魚郵件利用了人的好奇心里，習慣性的點開查看附件內容。附件以Exe/Scr后綴的文件風險程度最高，一般是病毒執行程序。其他常見的還有Html網頁附件、Doc附件、Excel附件、PDF附件等。

4、魚叉式釣魚郵件：魚叉式釣魚郵件是一種只針對特定目標進行攻擊的網絡釣魚，魚叉式網絡釣魚鎖定對象并非一般個人，而是特定公司、組織成員，受竊信息也是高度敏感、有針對性的資料。

5、BEC釣魚郵件：BEC詐騙又被叫商務郵件詐騙，攻擊者通過將郵件發件人偽裝成領導、同事、商業伙伴，以此騙取商業信息、錢財、或者獲取其他重要資料。

6、二維碼釣魚郵件：當用戶處于內網，無法向外網發送信息時，騙子就會引誘收件人掃描二維碼釣魚郵件進行攻擊。

郵件釣魚種類豐富，大多利用了人的從眾、好奇、愛貪小便宜的心理。觀察近年來各大APT組織的攻擊過程，釣魚攻擊一直是APT高級持續威脅的主要打點手段，網絡上公開的APT攻擊案例中超過80%都使用釣魚攻擊。而郵件釣魚則是一個絕佳的打開內網通道的入口點，郵件可以攜帶文字、圖片、網址、附件等多種信息媒介，結合社工手段可以對未經訓練的人群進行“降維打擊”，而且釣魚郵件還可以做到很強的針對性，對于運維部門、企業高管等較高價值目標還可以做到精準打擊。

如今紅藍對抗越加普遍及重要，各單位都相繼組建紅藍隊伍進行攻防演練。隨之而來防守方部署大量安全設備，如FW、WAF、IDS、IPS等，想要從Web端深入到內網已經困難重重。因而在日漸增多的防護設備面前，釣魚攻擊已經成為對抗中必不可少且非常有效的攻擊手法（近期也見到實際攻擊中針對HR的郵件釣魚攻擊），因為人心永遠是最大的弱點。一旦有人中招，攻擊隊就直接能進入目標辦公網，這也是釣魚的魅力之一。

然而在紅藍攻防演練中，攻擊隊常用的釣魚手段如果不依賴漏洞的情況下，讓防守方信任你的文件點擊并啟用，就需要釣魚話術來支撐。以下列舉幾個最常用釣魚話術和手段：

1、SRC假漏洞：當目標企業存在類似SRC漏洞獎勵計劃時，可以去提交一個假漏洞，并把惡意文件附在其中。這種情況下，安全運營人員明知道可能有惡意木馬的風險，也不得不去冒險，因為如果這是一個真的大漏洞，不及時處理可能會造成更嚴重的后果。

2、合作：合作是一個公司發展必不可少的，可以在網站下方找一些合作郵箱，以合作的名義去進行合作郵件釣魚。

3、可信站點附件中轉：進行釣魚攻擊時，會常常把木馬直接放在郵件正文中，但是對方郵件網關可能有殺軟沙箱，會攔截帶有惡意文件的郵箱，這時候可以嘗試對文件進行加密處理。除了加密處理外，還可以使用可信站點作為中轉，比如準備釣魚的員工是{domain}.com公司下的，那如果把附件傳到*.{domain}.com域下，當對方看到下載地址是{domain}.com域的話，下載點擊的成功率就會變大。

4、活動公告：這種話術更加直接，比如：①HW安全演練期間請升級系統 ②公司福利活動，請員工登錄下載等等。

釣魚手段層出不窮，了解釣魚手段是在攻防演習大環境下必不可少的技能之一。通過簡要的對于紅藍對抗中郵件釣魚話術的闡述，希望可以給無論是安全從業者還是對安全感興趣的人一些啟示。人永遠是最大的弱點，未知攻，焉知防，以攻促防希望未來能給安全建設帶來幫助。

在對抗郵件釣魚的方法上有技術性的，也有非技術性的。技術性對策比如正確配置郵件客戶端、使用郵件網關并加強策略，對釣魚郵件進行過濾等。非技術性對策則可通過定期進行安全意識宣貫，提高全體人員的安全意識，通過真實的釣魚攻擊對員工進行安全意識提升。

在如今互聯網時代下，每天大量信息在網上傳播，信息安全的價值日益凸顯。釣魚郵件攻擊對企業造成的危害不言而喻，想要從根本上杜絕不是一朝一夕的事情。對于企業而言，要不斷提高釣魚郵件的防護意識，構建安全穩定的企業郵箱防御體系，提高每個人釣魚郵件防護意識，由點及面方能讓企業安全更加牢固。