什么是网络钓鱼？

邮件钓鱼（Email Phishing）

邮件钓鱼是网络钓鱼最常见的类型。攻击者选择邮件作为承载钓鱼信息的媒介，一是因为邮件的广泛普及，二则是因为许多钓鱼技术，如链接操控等，更易由邮件承载。此外，企业多使用邮件作为内部通讯的工具。鉴于网络钓鱼往往是攻击者入侵企业系统的第一步，邮件钓鱼成为了许多攻击者的第一选择。

钓鱼邮件通常具有一些共性，如，这些邮件往往会制造紧急气氛，如要求“请尽快处理”、“紧急”，迫使受害者在慌忙中向攻击者泄露个人信息。此外，钓鱼邮件的正文常会包含语法错误与拼写错误，而从正规机构发送的邮件通常不会包含此类错误。

邮件钓鱼的形式多种多样，几种特殊的邮件钓鱼手段包括：

鱼叉式网络钓鱼（Spear Phishing）

鱼叉式网络钓鱼实际上就是一种更有针对性的邮件钓鱼。相对而言，普通的邮件钓鱼随机性更大，攻击者并不聚焦于具体的受害者，而是广泛散播有害信息。而鱼叉式网络钓鱼会选择具体的受害者，通过社会工程学详细调查受害者的特征、工作职位和联系人等信息，制定一份可信度非常高的钓鱼方案，提高社会工程的成功率。鱼叉式网络钓鱼往往就是攻破企业安全防线的第一步。

举一个例子：受害者属于公司的人力资源部门（Human Resources），有一天他收到一封邮件，发件人声称是求职人员，邮件的附件是伪装成简历的可执行木马。受害者惯于收到别人投递的工作简历，基本上就会直接下载附件，也就落入了攻击者的陷阱。

钓鲸（Whaling）

顾名思义，钓鲸指的就是钓“大鱼”。钓鲸是鱼叉式网络钓鱼的一种特殊类型，是针对企业高管发的鱼叉式网络钓鱼。钓鲸之所以广受关注，是因为企业高管手里通常掌握着大量公司的敏感数据，一旦受到钓鲸攻击，将给公司造成很大的损失。

商业电子邮件攻击 （Business Email Compromise）

严格来说，商业电子邮件攻击也应该属于鱼叉式网络钓鱼，通常是钓鲸的下一步。攻击者冒充公司决策者，通过邮件直接向公司其他部门或个人下达与资金、利益相关的指令。和传统的网络钓鱼不同，此类攻击的目标并不是受害者的个人信息，或者诱导受害者下载恶意软件或点击恶意链接，而是直接窃取资金，如要求公司财经部门向“合作方”或“客户”发起转账。尽管商业电子邮件攻击相较其他的网络钓鱼手段“技术含量不高”，但是仍旧可以给公司造成巨大的经济损失。

举一个例子：受害者是公司财务部的职员，有一天他收到来自公司CEO的私人邮件，要求他对第三方“合作方”发起一笔高达千万元的汇款，并要求该职员对此保密。出于对公司高层的信任，受害者发起转账，落入攻击者的圈套。

短信网络钓鱼（Smishing）和语音网络钓鱼（Vishing）

语音网络钓鱼和短信网络钓鱼可以算是网络钓鱼的两种方式，前者通过电话实施社会工程，后者通过短信。这两种方式显然针对的是更老派的受害者，他们不怎么使用网络，也看不懂那些“精美的”骗术，这让攻击者有种无力感。针对这类人群，攻击者采用了更传统的骗术，即通过电话或短信来使受害者落入陷阱。攻击者大都使用机器人来实施欺骗过程，当前高水平的机器人几乎可以代替真人来完成交流，这大大提高了攻击者的效率。

社交媒体网络钓鱼（Social Media Phishing）

社交媒体早就成为了我们生活不可或缺的一部分，我们用社交媒体去分享个人信息，也用社交媒体账号关联了银行账户或信用卡。因此，许多依赖社交媒体的网络钓鱼攻击应运而生。社交媒体钓鱼包括使用社交媒体传播的钓鱼攻击，通过社交媒体收集受害人信息来计划的钓鱼攻击，以及盗用受害人社交媒体账号的钓鱼攻击。

举一个例子：攻击者在盗用一个受害者的QQ账号后，使用该用户的QQ向该用户的亲朋好友发送二维码或链接，该用户的亲朋好友因为是收到熟人发来的消息，防备心理不强，扫码后就成为了新的受害者。

域欺骗（Pharming）

域欺骗是一种比普通钓鱼攻击更复杂也更有效的手段。攻击者通过改变受害者设备上的域名解析文件，或利用DNS服务器软件的漏洞，使受害者在输入网站地址后，被重定向至钓鱼网站或含有恶意代码的网站上。普通钓鱼攻击的成功大多数时候是因为受害者的粗心大意或安全意识薄弱，但在攻击者使用了域欺骗技术的情况下，即使受害者输入了完全正确的网址，受到攻击的DNS服务器还是会将受害者引导至恶意网站。

恶意孪生钓鱼（Evil Twin Attack）

许多人都有在公共场所寻找免费热点的经历。殊不知，这些免费热点极其有可能是恶意孪生钓鱼攻击者伪造的无线访问接入点。攻击者在公共场所设置一个假的无线访问接入点，即真正的无线访问接入点的“恶意孪生兄弟”，来诱导受害者连接上网。一旦受害者的设备连接上该网络，攻击者就可以窃取受害者的账户密码和个人信息。