近年来，网络中的钓鱼邮件无孔不入，花样百出的新鲜“钓鱼”骗术，总是令用户防不胜防。年关将至，新一轮退税填报工作又开始了。在大家集中填报的高峰期，骗子也开始布设各种钓鱼陷阱。

提醒大家：个人办理退税事宜，要在“个人所得税”官方APP进行，切勿相信未经验证的所谓“补贴”短信、邮件等。

近日，刘女士上班时收到名为“内部通知”的邮件，邮件声称“根据国家规定，公司要求员工汇总2022年度的工资薪金信息，以便进行退税申报，请扫描下方税务局二维码办理”。刘女士按照附件要求扫码，并填写了银行账号等信息，不料竟收到了扣款两千元成功的短信。

在2023年全国各地也频发钓鱼邮件安全事件，例如二维码钓鱼邮件开始流行；全球多地 Zimbra 电子邮件账户遭到钓鱼邮件攻击；Facebook 惊现网络钓鱼浪潮，每周攻击 10 万个账户；“游蛇”黑产团伙针对中国用户发起了大规模钓鱼邮件攻击活动等，造成了巨大影响。

通过以上事件可以看出，钓鱼邮件危害巨大，轻则只对单个用户产生影响，重则造成组织敏感信息泄露，网络防护体系整体崩溃。尤其对政企单位而言，在关键时期的重点领域，钓鱼邮件攻击一旦奏效，攻击者不仅可以盗取目标信息、植入木马病毒、攻破内网终端，还能通过进一步渗透达到更高级别的攻击目的，必然会给组织带来严重的经济与名誉损失！

钓鱼邮件攻击路径分析

钓鱼邮件不光是此类骗局，还有仿冒发件人邮件、链接钓鱼邮件、附件钓鱼邮件、鱼叉式钓鱼邮件、BEC钓鱼邮件等类型，通过各种伪装以假乱真，已跃然成为攻击成功率最高的方式之一。钓鱼邮件攻击的套路大同小异，以上案例事件攻击路径分析如下：

1.攻击者定向获取通讯录分析职能架构，确定职能岗位人员邮箱。

2.利用综合管理类型人员邮箱，增加员工的信任度，发送二维码式样带诱惑性（退税申报）邮件，诱使点击。

3.转移到手机端要求填写银行卡密码进行诈骗。

伴随着信息技术和人工智能技术的发展，用于进行钓鱼邮件攻击的辅助工具、附件恶意载荷以及防御逃避技术也持续革新。

生成式 AI 辅助鱼叉钓鱼攻击技术

2022 年以来，以 ChatGPT 为代表的生成式人工智能技术掀起了全球人工智能热潮，其高度智能化的特性在带来便利的同时，也为黑客制作网络武器化的钓鱼邮件攻击提供了“捷径”。生成式 AI 机器人可根据用户需求快速创建完整的钓鱼邮件感染链，向特定目标实施鱼叉钓鱼攻击。

多种新型附件恶意载荷技术

随着黑客技术演进发展，攻击者开始将钓鱼邮件攻击作为一种投递恶意载荷的方式，利用附件夹带勒索软件、僵尸蠕虫、木马病毒等恶意程序，以实施渗透攻击。例如Office文件启用宏、可执行文件攻击、帮助文件（Compiled HTML Help，CHM）捆绑木马、快捷方式文件（Link File，LNK）欺骗、附件伪装、动态链接库（Dynamic Link Library，DLL）劫持攻击。

多片段程序编码混淆检测逃避技术

黑客为逃避各类邮件附件安全检测开始针对性地研发了一种通过摩斯电码、美国信息交换标准代码（American Standard Code for Information Interchange，ASCII）等多种编码进行程序分段混淆加密的免杀逃避技术。其技术过程如下：采用恶意程序分段混淆思路，通过多种编码组合逃避检测，最终组合片段实现恶意功能。

增强钓鱼邮件安全意识势在必行

钓鱼邮件攻击技术虽然在持续更新，但应认识到其本质都是通过社会工程学手法，利用人们的好奇心、猎奇心以达到欺骗目的。因此道普信息风险管控专家表示，企业想要时时规避风险，提升网络安全指数，除了加强邮件安全防护体系建设外，也需要定期举行钓鱼邮件安全意识评估。

1.准备阶段

在前期调研过程中，掌握企业安全意识基本情况，并协助企业确定标靶网站及测评对象。

2.定制阶段

在钓鱼邮件主题及邮件内容设计阶段，则要根据企业实际调研情况，针对性的选择钓鱼邮件主题。

3.测试阶段

确定和制作钓鱼邮件样例后，实施定性测试定制化工作完成后在测评小组内部进行钓鱼邮件测试。

4.评估总结阶段

批量发送钓鱼邮件后，在规定时间内对结果收集，并对客户行为数据统计分析，形成钓鱼邮件测试报告。