自從上次我們把某用戶和安全GPT研發老哥的故事《又有員工被釣魚了？我半夜三點從夢中驚醒》（點擊閱讀）發出來之后，收到了一些不同的聲音：

“你們釣魚攻擊檢出率是怎么算的？怎么對比的？”

“什么叫高社工、高對抗釣魚樣本測試？會不會是你們提前設計好的？”

用戶的聲音是我們前進的階梯，今天我們必須給大家一個交代。

正好，近期深信服與某行業頭部大型企業（以下稱為某大企）做了一次與傳統郵件安全防護架構對比的真實效果檢測。2天時間內，安全GPT共檢出了213封惡意釣魚郵件，精準率95.8%，而傳統郵件安全防護架構檢測精準率僅為49.85%，不僅包含了垃圾郵件，也將許多白郵件也攔截了下來。

其中，安全GPT獨報了86封釣魚郵件攻擊，是某大企現有郵件安全防護架構都無法檢出的高級釣魚攻擊，主要類型有：二維碼嵌套加密附件釣魚，網站白利用釣魚，時間對抗釣魚。

可見，傳統檢測技術固然能夠過濾掉強特征的釣魚郵件，但真正難防的，是高社工、高對抗的釣魚攻擊。

什么叫高社工、高對抗釣魚？這里我們不想貿然去下定義，希望通過本次攻擊者和安全GPT的幾個“過招”，向大家展示網絡釣魚攻擊的“套路之深”。

招式一：二維碼嵌套加密附件釣魚

某員工收到一封主題為“退稅通知”的郵件，郵件內有附件“退稅操作指引.zip”。但是該附件有密碼加密，且密碼在郵件正文中，在正文中有“附件密碼：4個2”的相關內容。

員工下載附件解密后，解壓壓縮包，釋放出“退稅操作指引.docx”和“附件密碼tszy.txt”兩個文件。用附件密碼打開“退稅操作指引.docx”，發現文檔放了一個二維碼，掃碼后進入釣魚頁面。

員工解密解壓壓縮包后，還需要對word進行解密

傳統檢測技術解法

傳統檢測技術能夠識別“附件密碼：2222”，打開附件看是否有惡意域名鏈接；但卻無法識別“4個2”進行解密，即使解密，也無法通過釋放的文件進行第二層解密，很可能當作正常郵件放過或攔截后需要人工介入。

安全GPT「接招」

安全GPT了解其郵件意圖后，進行了如下幾步操作：

1、像安全專家一樣從郵件正文中理解并提取出附件密碼“2222”，并使用密碼打開壓縮包；

2、發現壓縮包內還有第二層解密，便從“附件密碼tszy.txt”提取出密碼，對文檔進行解密；

3、打開文檔后，發現二維碼，安全GPT使用工具掃描二維碼，得知其鏈接為"http://sdfjksh.dfjghd.bond/"；

4、通過查詢情報等信息結合判斷（罕見域名后綴、域名沒有備案），得出該鏈接非官方、是釣魚鏈接的結論。

點擊可查看「安全GPT解析過程」大圖

招式二：網站白利用釣魚

某員工收到一封主題為“郵箱升級通知”的郵件，提示用戶點擊鏈接“http://tinyurl.com/dsjedjNdj”進行操作。員工點擊鏈接后，隨即會跳轉到另一個鏈接里，要求輸入賬號密碼登錄郵箱，輸入后，賬號密碼便落入攻擊者手里。

傳統檢測技術解法

tinyurl是一家短鏈接服務提供商，在各家情報中信譽都是高可信。傳統檢測技術識別到高信譽鏈接便認為郵件是合法的，自然將此郵件放過，卻不知攻擊者只是將釣魚鏈接套上了“高信譽”的殼。

安全GPT「接招」

安全GPT從郵件頭部、郵件鏈接和情報信息綜合判斷該郵件為釣魚郵件。

安全GPT會使用爬蟲工具進行訪問，發現跳轉到另一個鏈接“http://dfjghd.bond.com/login.php”，隨后跟蹤頁面，發現是一個登錄框，同時查看頁面源碼發現存在克隆特征且表單提交地址十分可疑，再結合情報信息，該鏈接的域名注冊年齡較短，且無備案信息（不符合國內法律法規），綜合判斷得出是釣魚郵件的結論。

點擊可查看「安全GPT解析過程」大圖

招式三：時間對抗釣魚

某員工收到一封主題為“緊急內部通知，注意查收”的郵件，郵件內有一個圖片，是個二維碼，要求用戶掃碼按照指引操作。

掃碼訪問發現頁面提示：“當前非工作時間，請于早上7:00后再提交申請”。頁面跟真實業務幾乎一致。員工第二天訪問，即彈出登錄頁面，一旦輸入，賬號密碼就被攻擊者掌握。

員工掃碼后看到的頁面提示

傳統檢測技術解法

因為鏈接并不會第一時間跳轉到釣魚界面，傳統檢測技術不會發現任何異常，也不會到第二天再去跟蹤訪問，因此會判定為正常郵件。

安全GPT「接招」

安全GPT使用工具掃描二維碼，識別到正常的工資收入退稅申報的官方業務網頁維護，不會出現“當前非工作時間”并要求第二天訪問的描述，像安全專家一樣判斷其意圖異常。再結合發件人身份、郵件主題及緊急誘導語氣等信息綜合判斷，給出是釣魚郵件的結論。

點擊可查看「安全GPT解析過程」大圖

通過以上幾個案例，可以清晰地看到，傳統基于靜態特征（如關鍵詞過濾、黑名單等）的防釣魚檢測技術很難應對各種新型的、組合型的對抗手段，也無怪乎釣魚攻擊一直穩居“CIO頭疼榜”前排。

安全GPT帶來的不是更廣更全的釣魚攻擊特征庫，而是以網安領域Game Changer的思路，為用戶帶來擁有大腦和思維的防釣魚安全專家，能夠對“百變”的釣魚攻擊行為做出理解和判斷。

點擊查看視頻：安全GPT防釣魚真實效果演示

安全GPT通過強大的自然語言處理能力、釣魚攻擊推理能力和海量安全知識儲備，借助端側采集到的郵件數據、文件信息和行為數據，能夠快速、有效檢測郵件釣魚攻擊與文件釣魚攻擊。

像安置在每位員工身邊的防釣魚專家一樣，安全GPT不僅能夠理解攻擊意圖，更能關聯起完整且隱蔽的攻擊鏈。而在真實場景下應用形成的海量優質數據，又會促進安全GPT防釣魚數據飛輪，讓防釣魚的能力越來越強，致力于每位用戶的安全都能夠領先一步！