冒充尼日利亚王子之类的伎俩早已过时——如今钓鱼欺诈活动已经成为极为复杂的业务体系，即使是最具经验的安全专家都有可能被其骗倒。

几十年来，网络钓鱼邮件已经成为计算机领域中的一大安全祸根，当然我们也使出了浑身解数、努力将其扼杀在摇篮当中。时至今日，大多数普通用户已经能够通过标题行意识到其邪恶本质，并在发现之后直接将其删除。而如果大家无法完全确定其性质并将其打开，那么其中过于正式的问候方式、诡异的国外发送地址、拼写错误、荒谬到无法形容的奖励内容描述乃至过于殷勤的产品推销言辞都能够让我们立刻发现其背后潜伏着的危险因素，而这次钓鱼活动也将在我们按下删除键的同时宣告破产。

然而更进一步来讲，无数真实案例已经证明，有针对性的钓鱼行为目前仍然相当有效，即使是最具经验的安全专家亦有可能被其骗倒。为什么会这样？因为这类钓鱼邮件由专业人士所精心设计，他们似乎了解目标受害者的业务内容、当前工作项目以及感兴趣的方向。他们不会用中奖通知或者奖品发放之类拙劣的手段达成目标。事实上，如今的网络钓鱼在效果设计上已经不再限于简单的经济诈骗。

在今天的文章中，我们将分步了解目前最为先进的网络钓鱼活动，并分析我们该如何避免坠入由其精心布置的陷阱。

　　攻击活动由专业犯罪分子精心布置

从传统角度讲，网络钓鱼邮件一般是由那些技术水平不高、寄希望于老套恶意手段的低端骗徒所制作：这类群体往往会随意接着出一封草率的邮件，其内容有时候甚至愚蠢到令人无法直视。但从实际层面来讲，这种钓鱼尝试也有自己的一套理论，毕竟只有那些会被这种低劣手段骗倒的对象，才有可能会在后续欺诈过程中遭受更加严重的损失。

不过网络钓鱼活动目前已经开始出现转变。相当一部分专业犯罪分子以及有组织的犯罪集团意识到发送高质量的钓鱼邮件能够获得相当可观的经济收益。由Brian Krebs撰写的2015年畅销书《垃圾王国》就追踪了来自俄罗斯的多个专业犯罪团伙的崛起之路，这帮家伙每年能够获得数千万美元收益，并受到多家大型企业的支持——其中部分企业甚至以合法的身份在证券交易所挂牌上市。

而接下来各国政府也开始参与其中，他们意识到只要能够瞄准合适的攻击对象，那么其经过精心伪装的邮件将能够帮助其轻松绕开固若金汤的安全防御体系。就目前而言，大部分高级持续性威胁(简称APT)都是通过发送电子邮件而在受害组织机构当中获得初步立足点的。

今天的专业互联网犯罪分子们也过着朝九晚五的正常生活，他们按时缴税并享受轻松的周末与法定节假日。他们所效力的企业通常拥有数十到数百名员工，向当地执法部门及政客行贿，并常常被视为所在地区的理想就业选项。而且在为这类公司工作时，攻击他国目标的行为往往被自豪地打上“爱国”的标签。

这些专业黑客们采用相当正规的工作方式。其拥有由领导层带队的市场营销渠道，旨在寻找那些愿意出钱窃取特定企业有价值信息的客户。当然，他们也会定期自主攻击任意受害企业，并将由此获取到的信息作为商品在市场上兜售。

而研究与监测小组则负责收集与目标公司相关的组织结构、业务伙伴、可访问服务器、软件版本以及当前项目等重要信息。通过访问目标企业的公众网站并着眼于其防御手段相对薄弱的合作伙伴，黑客们能够较为轻松地获取到上述筹备信息。

上述调查结果将被交付至初步攻击团队，并由后者在目标组织内部建立入侵着陆点。该团队正是整个犯罪体系当中最为重要的组成部分，其通常被划分为几个技术水平较高的分组，每个分组专注于突破特定领域：包括入侵服务器、发动客户端攻击、执行社交工程攻击或者实施网络钓鱼攻击。而网络钓鱼团队将与调查团队联手，通过配合制定与受害者当前项目及业务议题相关的电子邮件模板。

当然，还有其它一些团队与之进行配合。后门团队在初步入侵完成后跟进，旨在通过植入后门木马、创建新用户账户以及在受害组织内部收集登录凭据等方式确保自身继续保持对目标的后续入侵能力。

接下来，与任何一家出色的咨询服务公司一样，攻击方会派遣一支长期团队专门应对该“客户”。这支队伍驻扎在受害者内部获取重要信息以及与组织结构及VIP相关的细节内容。他们能够在很短时间内摸清目标企业的现有防御系统特性，并了解如何加以回避。当有新型项目或者大规模数据上线时，该团队会首先了解到相关情况。任何可能有价值的信息都会被复制下来并加以保管，这就做好了其今后进行批量销售的基础准备。

很明显，这一切都与以往那些由脚本小子们在网吧里弄出来的邋遢钓鱼邮件完全不同，正因为如此如今的钓鱼攻击更加富有成效。这些邮件的制造者拥有流水线级别的组织体系，而且他们也得通过面试，领取正规的薪酬、福利以及项目奖金。另外，恶意组织甚至还要求成员签订保密协议，并拥有专门的人力资源管理团队以及各部门间政治协调等机制。

所以千万不要掉以轻心：钓鱼邮件已然实现了专业化转型。

(责任编辑：安博涛)