截至演練第2周，深信服平均為每家客戶檢出3622封釣魚郵件↓

• 精準率超過98%

• 對比傳統郵件安全方案，獨報釣魚郵件數量超過1700封

• 檢出層層偽裝和繞過的高對抗釣魚郵件258封

2024年實戰攻防演練已進行半月有余，聽說這屆紅隊釣魚的手段又上新了億點點？以下案例非常新鮮，是深信服幫助用戶成功獵捕的真實釣魚攻擊事件，拿走不謝?。]開玩笑，真有人上鉤）

PART 1

某防守單位員工收到一封以“7*24小時任務下發”為主題的郵件，正文中說因紅隊周末加練需調整工作時間，附件為“7*24任務安排.zip”壓縮包，同時提供了附件的查看碼，并著重強調請勿泄露密碼。

問：此類釣魚的攻擊原理是什么？

GPT：

釣魚攻擊原理：利用演練情報的吸引力，通過加密附件繞過、圖標偽裝等進行釣魚。

1、壓縮包存在可執行惡意文件，通過使用圖標偽裝及雙后綴兩種技術，誤導收件人相信這只是普通的Word文件，從而下載并打開文件。

2、樣本執行C2階段會在“C:\User\Public\Downloads”以及“C:\User\Public”目錄下分別釋放文件“update.exe”與“Update.exe”，并使用cmd給予不同參數以運行被釋放的惡意文件，直到主機被攻擊者完全控制。

類似釣魚郵件主題參考：保障安全意識、2024攻防演練、補丁升級包、安全手冊、后續問題反饋

PART 2

某國企員工收到一封來自“××應急小組”的郵件，正文說可以申請郵箱擴容，正文中附【2024郵箱擴容登記表】問卷星二維碼，收件人掃碼后需在問卷中填寫姓名、手機號、郵箱、賬號密碼等敏感信息。

問：此類釣魚的攻擊原理是什么？

GPT：

釣魚攻擊原理：利用員工關注的主題，通過偽裝官方郵箱、利用問卷星官方地址提升可信度進行釣魚。

填寫并提交問卷后，員工個人敏感信息將被攻擊者在后臺掌握，可借用其賬號進行一系列操作。

類似釣魚郵件主題參考：退稅補貼、賬戶體檢、郵箱擴容

PART 3

某公司財務部門員工收到一封來自“xx稽查局-小陳”的郵件，郵件主題為“ 案件名稱：××公司虛開發票案”，正文描述了具體發票數量和金額，要求收件人配合立案調查，點擊鏈接查看“發票清單附件”。點擊鏈接后將自動跳轉到“51發票網站”，并自動下載發票清單壓縮包。

問：此類釣魚的攻擊原理是什么？

GPT：

釣魚攻擊原理：利用人性弱點，通過發件人角色偽裝、圖標偽裝、進程名偽裝等進行釣魚。

1、收件人點擊后進入的網站為仿冒域名，試圖繞過網關的檢測，并通過偽裝頁面使其相信是正常附件。解壓后的文件圖標偽裝成了正常文檔，且帶有無效的數字簽名。

2、文件執行后會在系統可信目錄下釋放新文件Tomcat.exe，并刪除原始文件以防被溯源、檢測并規避殺毒軟件。一旦文件被打開，惡意軟件將回傳信息并完全控制收件人設備。

3、該惡意軟件在系統重啟后仍可以啟動，比如當系統中殺毒軟件的進程數量小于等于某個值時，會在系統啟動目錄下創建Lnk文件，文件名被偽裝為正常的WPS快捷方式，即WPS.lnk。

類似釣魚郵件主題參考：案件調查、律師函、違紀處理

點擊查看視頻：安全GPT防釣魚真實效果演示↓

深信服安全GPT釣魚檢測方案

安全GPT通過強大的自然語言處理能力、釣魚攻擊推理能力和海量安全知識儲備，像安置在每位員工身邊的防釣魚專家一樣，能夠快速、有效檢測高對抗釣魚攻擊，致力于讓每位用戶的安全都能夠領先一步！