网络钓鱼大讲堂 Part5 | 网络钓鱼对策（反钓鱼）

对抗网络钓鱼的方法有技术性的，也有非技术性的。本文着重介绍了四种反钓鱼技术：

1. 反钓鱼技术手段
2. 非技术对策
3. 模拟钓鱼攻击
4. 反钓鱼小贴士

反钓鱼技术手段

最有效、最常用的技术手段包括：

• 使用HTTPS
• 正确配置Web浏览器
• 监控钓鱼网站
• 正确配置邮件客户端
• 使用垃圾邮件过滤器

1. 使用HTTPS

一般的HTTP网站使用80端口，而安全版本的HTTP即HTTPS使用443端口。使用HTTPS意味着浏览器与目标服务器之间的所有信息均加密传输。所以，HTTPS的“S”表示“安全”(Secure)，但使用HTTPS访问网站并不能100%保证安全。网络钓鱼者会使用HTTPS搭建钓鱼网站。判断网站合法性的最有效方法是验证证书详细信息。合法的网站应有由知名、可信的证书机构(CA)颁发的证书。

2. 正确配置Web浏览器

多数浏览器自带工具防止用户被定向至钓鱼网站。Mozilla火狐浏览器的“安全”配置页面中的“常规”设置有如下几个选项：

• 当站点尝试安装附加组件时警告
• 阻止已报告的攻击站点
• 阻止已报告的钓鱼网站

最好全部选中这三个选项以更好地保护自己。IE浏览器的工具下拉菜单中有个SmartScreen筛选器。使用这个选项，你所访问的每个网站都会发送给微软，微软将根据举报网站清单验证其真实性。

3. 监控钓鱼网站

如上所述，微软等组织存有动态更新的举报网站清单。网上还有现成工具可在访问网站前进行网站检查，例如谷歌安全浏览工具。

4. 正确配置邮件客户端

最终用户不能走进机房配置邮件服务器，但能够配置邮件客户端处理邮件的方法。邮件客户端的种类很多，现在尤其如此，因为人们越来越倾向于在移动设备上查看邮件。重要的是要了解所选择客户端的特性。Outlook仍然是最受欢迎的桌面邮件客户端，提供网络钓鱼保护。进入垃圾邮件设置，禁用链接，接收关于可疑域和邮件地址的警告。若使用谷歌安全浏览工具，可在目标网站前输入如下URL：

http://www.google.com/safebrowsing/diagnostic?site=

例如，在访问apple.com前，将目的地址添加到上述URL中的“=”后，然后按回车键。

5. 垃圾邮件过滤器

除了正确设置邮件客户端，还可以在邮件中使用垃圾邮件过滤器。

非技术对策

最有效的非技术对策是培训用户。保证本组织内部人员甚或家庭成员了解时下的网络钓鱼技术，防止他们成为网络钓鱼攻击的受害者。有些组织甚至构造钓鱼邮件以识别容易上当的员工。点击邮件中链接或未上报可疑情况的员工会被定向至培训网站，接受强制培训，有时甚至还要就培训内容参加考试。

另一种非技术对策是法律政策。公司出台政策保护员工及其资产不被攻击。这种政策本身是非技术性的，但用于指导技术控制措施的制定。

目前，已有相关法律试图保护消费者免受垃圾邮件和钓鱼攻击的侵扰，但这些案件很难追查，犯罪分子也很难定位。

模拟钓鱼攻击

模拟钓鱼攻击指组织为自保而发起的钓鱼攻击。为了更有效地培养员工的反钓鱼意识，组织会编写钓鱼邮件发送给员工，试探谁会上钩。

PhishSim、AwareEd和SecuityIQ属于同一个钓鱼攻击软件包。这些模拟攻击的目标是对用户进行培训，以便更有效地识别可疑邮件。至于最佳部署方法，尚无明确定论。是否应该事先通知用户这种培训手段?若是，应该透露多少信息?是像消防演练一样通知有这么一回事却不告知具体时间吗?若告知用户要进行模拟攻击且提供了具体的日期和时间，不仅失去了“突然袭击”的意味，更会让他们对真正的钓鱼攻击视而不见，反而增加了风险。

许多模拟钓鱼公司软件允许公司自定义攻击行动，监控结果。使用这种方法，可以对计划的有效性进行统计。目的是持续教育而非斥责、贬损用户。这种做法有争议，但调查表明效果不错，在发动这种模拟攻击后，用户加深了对网络钓鱼的认识。这种模拟可与时俱进，而不拘泥于已有的攻击方法。尼日尼亚王子发送邮件要求收件人提供资金以获取更多资金已经是将近20年的老把戏了，现在又出现了许多假冒的网络传真邮件，意图让毫无防备的用户相信自己收到了传真。若有人工作时涉及到收传真则很容易上当。攻击形式在变化，模拟钓鱼攻击的软件也在变化(Higgins,2013)。

反钓鱼小贴士

首先要注意的是检查可疑邮件地址行的“收件人”和“发件人”信息，确认自己认识邮件发送人。即使邮件来自于可信发送方，也要查看“收件人”这一行确认自己是否为唯一收件人。很多时候，攻击者先入侵账户，再构造钓鱼邮件，最后可能为了节约时间通过入侵账户将邮件发送给尽量多的人。若发现有很多自己不认识的收件人，你就要小心了。在当今的社交媒体中，上世纪90年代和21世纪初的连锁邮件几乎已经绝迹，取而代之的是状态更新和分享链接。

在打开邮件前，将鼠标悬停在邮件上查看发件人那行中的发件人是否确为发件人。悬停鼠标时，会出现一个小框，提示邮件相关的元数据信息，检查信息，确认是否与收件箱中内容匹配。

若进行这些操作后未发现反常情况，打开邮件。邮件中若包含图片、附件或URL，对这些也要进行检查。许多钓鱼邮件会包含URL链接，这些URL实际上是抢注域名和误植域名网站。微软就识别抢注域名和误植域名并且避免上当提供了小贴士，包括保证浏览器安装了最新的安全补丁、收藏网站以避免打字错误、需要输入个人或财务信息时使用HTTPS网址。

国土安全部的美国计算机紧急响应小组(US-CERT)就现有技术威胁同样发布了警告。

US-CERT提供的建议包括配置多个邮件账户、用最新的杀毒软件扫描文件等，当然还要相信自己的直觉。若某事看似可疑很有可能确实有问题。不容乐观的是网络钓鱼攻击并未减少，所以应始终保持警惕，谨慎行事，以保护资产安全。

结论

总而言之，对抗钓鱼攻击可采用如下方法：

• 反钓鱼技术手段
• 非技术对策
• 模拟钓鱼攻击
• 反钓鱼小贴士

谁都无法完全避免或阻止钓鱼攻击，但是可以尽自己所能保护资产，对用户进行网络钓鱼趋势方面的持续培训。

本文作者：绿盟科技

来源：51CTO