从一个案例讲起

本期故事主人公，王总：海归、技术大拿、人帅。小庄：新入职财务人员、肤白貌美。

叮铃铃叮铃铃，小庄的电话想起来了，是一个陌生的号码。

小庄：“你好，这里是公司财务部。”

王总：“小庄吗？我是王总呀，我给你邮箱发了一份报告，你给我打印出来。奥对了，这是我的手机号，存一下，以后工作方便联系。”

小庄：“好的王总。”

小庄也是进行过严格上岗培训的，作为公司财务人员，所有与钱有关的事情，都会下意识的提高警惕，小庄心里盘算着：“要不要核实一下，这有什么核实的，王总也没有提钱的事呀。更没有要我汇款到指定账户呀，只是打印一个报告，不会有什么问题的。”邮件是QQ邮件，上面还有QQ号，小庄特意搜索了一下该QQ号，查看了一下QQ资料，“嗯没错了，是王总，相册里还有他的帅照，还有我们公司的宣传图片。”

放下了戒备的小庄，这才点开了王总的邮件，下载了报告附件。紧接着某处的黑客后台，看到了目标上线通知，渗透入侵成功。随后小庄收到了王总的短信通知，说不需要打印了。小庄也没把它当回事，事情就这样结束了。黑客成功进入内网后，开始收集更多的信息，为内网漫游做准备。很多安全从业人员，更多的时间是花在了网络边界的防护上，对内网的安全审计很少关注。内网安全问题日益凸显，后面的章节我们会介绍内网安全防护，今天我们只谈网络钓鱼。

网络钓鱼的进化

所谓网络钓鱼就是利用欺骗手段盗取个人信息的行为。上世纪90年代最早出现在美国在线，有人冒充美国在线的工作人员，要求验证用户的账户及密码，如果不配和将被注销账号。就利用这么简单的方式，众多用户信息被盗。在信息发达的今天如果有人冒充微信客服说要验证我们的账户安全性，发一个链接，肯定还会有人去点击，并且无视微信的安全提醒，输入账号密码。看到这儿的朋友，记住了不要做这种傻事，这也是这篇文章所要传达的安全意识。

随着垃圾邮件和反垃圾邮件的斗争不断蔓延，如今一种新型的钓鱼模式悄然兴起，那就是鱼叉式钓鱼，对特定筛选出来的小部分目标，个性化定制（也就是投其所好），同时结合伪造、多态、偷渡等技术手段规避常规的防护。更可怕的是研究人员表示将尽97%的钓鱼邮件都含有某种勒索病毒，这将给企业带来不可估量的损失 。

没错，小庄就是被黑客利用网络钓鱼欺骗了。小庄的范意识还是比较强的，只是本次钓鱼黑客利用了较新的形式“安康鱼”。这和我们常见的鱼叉式钓鱼有所不同，黑客利用伪造特定身份，比如厂家、技术支持、客户等，将账户伪装成真实账户相似的昵称，皮肤、图片，让目标事先有接受邮件的预期，在看到预期邮件后降低安全意识从而中招。

归根到底是人的问题

人类作为我们最后一条防线的同时，也是我们最大威胁。有个不争的事实，谁都骗过人，谁都被人骗过。马上要高考了老师总会对我们说，抓紧时间好好学习，考上大学就可以随便玩了。小时候妈妈给我们保存的压岁钱也不知道啥时候还我们，算命先生说28年后我就可以黄袍加身，天天大鱼大肉为伴，我信你个鬼骚老头子坏得很。

言归正传，魔术师大家都不陌生吧，其实他就是利用了我们注意力焦点漏洞，在注意力焦点边缘部分或者在焦点之外通过夸张的动作或者语言，掩饰暗处的小动作。我们总是自己认为自己是注意力的主人，但我们的注意力同样很容易被劫持。越是明显的攻击背后可能隐藏了真正的目的，就像打仗一样，在网络安全领域很多公司可能遭受DDOS攻击，工程师们疲于应付DDOS攻击，很容易忽视隐藏其中的窃取和欺诈行为 。

网站劫持大家并不陌生，大脑思维劫持听说过没，可能没听说过，不过却实实在在影响着我们，大脑思维劫持起作用的是影响力和关系。我们越是认同他人，越容易被他人影响。今天关注这个大V，明天关注那个大拿，我要说你被众多意见领袖劫持了你们不会打我吧？嗯可能有人会说我心甘情愿的。

继续分析我们的网络钓鱼，一片邮件中要是使用了稀缺性、紧迫性、权威、社会认同和互惠多种战术，钓鱼的成功率会大大提高。等等怎么这么眼熟：央企世界500强，洋房花园仅此一栋，欲购从速，现在认购交2000顶50000万.....额原来房地产才是钓鱼的行家呀。

怎么办？

除了要提高我们的安全思维意识，具体的就是做到以下几点：

1、不回复陌生邮件

2、不点击链接或媒体（包装成图片的病毒）

3、警惕含有催促威胁意味的说辞

4、必要情况核实

5、启用安全浏览器

6、定期修改口令，不要在不同网站使用同一个口令

这些都是老生常谈的建议了，你做到了几条。