網路釣魚，網際網路最成功的騙局

本文看點

相比製作惡意軟體，網路釣魚操作簡單，相對便宜，且不會留下可追蹤的線索。當網路釣魚和惡意軟體結合，如詐騙電子郵件及其附件，駭客得以透過使用者本身控制使用者的電腦。

使用者是網路釣魚中最薄弱的環節，使用者期望依靠科技公司避免風險，但科技公司無法提供可靠的更新來改變或阻止使用者行為。作者建議使用者瞭解電腦及網路釣魚的機制，啟用雙重驗證、避免重複密碼、採用密碼管理器等措施，避免成為攻擊目標。

原文來自The Atlantic，作者Quinn Norton

1973年的經典盜竊題材電影《騙中騙》中，大蕭條背景下，羅伯特·雷德福德和保羅·紐曼扮演的兩個騙子為了詐騙一個腐敗的銀行家，在芝加哥的某個地下室中打造了一個虛擬的世界：他們建了一個場外博彩室，僱了演員，為了使現場更加可信，甚至還招募了假的執法人員來假裝進行突擊搜查。

這部電影之所以令人難忘，是因為它是同類型電影中最好的作品之一，劇本妙趣橫生，同時也因為兩個角色的偽裝工作做得非常細緻。

但之後，騙局都變了，無論是長線還是短線。在這個時代，網上的

釣魚網站

就相當於《騙中騙》的情況：

一個存在於網路上的虛假現實

，用來獲取登入資訊和密碼、銀行賬號等珍貴資訊，以及現代生活中其他有用的秘密。

這些網站的建造過程並不在我們的視線範圍內，但就像《騙中騙》的博彩室一樣，這些騙局的每個細節都完美無缺，或是在最後一刻完美地契合在一起。

這可能是定義網路釣魚的最佳方式：

一套針對你的設計，用來騙取你的資訊

；有可能是由騙子設計的，也有可能是由意圖實施干預的政府工作（或與之合作）的間諜或代理設計的，這比戴著草帽、得意笑著的保羅·紐曼更加險惡。

但也許它看起來並非如此險惡，因為

網路釣魚是非常容易成功的

：十分簡單，相對便宜，可以說，要是哪個國家還沒有把釣魚作為其間諜戰略的一部分，都可以炒了它的情報機構。

計算機安全通常針對

惡意軟體

：攻擊計算機程式錯誤以控制計算機，並將控制權交給其他人的軟體。

惡意軟體是複雜的軟體，它可以悄悄地接管一臺電腦而不被發現，它可以做任何事情，從複製你鍵入的每一個字母，到觀看你開啟的每一頁，到開啟相機和麥克風並錄製你的影片，再到加密你的硬碟並就你計算機上的內容對你進行勒索。

但是全新的惡意軟體是很難寫的，再加上要發現或購買一個供惡意軟體秘密進入電腦的安全漏洞，這得僱些天才程式設計師花上好一段時間才行。

這會昂貴到肉疼，且往往會留下線索，讓人能夠追溯到惡意軟體的作者。

網路釣魚不攻擊計算機，而是攻擊使用計算機的人。

一個暑期實習生僅僅在幾個星期內就能成功建立一個有效的釣魚網站。

如果你想做一個釣魚網站，可以從儲存瀏覽器中的完整網頁著手，該操作將為你提供圖片、文字和程式碼，正是這些元素構建了你現在正在閱讀的網頁。

如果本文包含帳戶登入名，你可以將其放在你控制的伺服器上，也可以註冊另一個域，如http：//tehatlantic。com。如果你能夠誘使某人在tehatlantic。com上使用他們在TheAtlantic。com上的使用者名稱和密碼，那麼你就能獲得這些資訊。

這種網路釣魚最初主要是一種面向大眾的財產偷竊計劃。Microsoft Research的首席研究員科馬克·赫利說：“網路釣魚已經改變了很多。大約十年前，他們普遍會使圖盜取銀行賬戶、PayPal、eBay的密碼。我認為這一威脅基本上已經被消除：垃圾郵件過濾器如今更善於發現威脅；瀏覽器內建了警告機制；銀行已經增強了對欺詐行為的監管。”

但上述模式併為針對特定目標。而誘使某人在電子郵件或其他地方點選一個釣魚連結則是

有針對性的攻擊，也被稱為魚叉式網路釣魚

：瞭解某人的生活和習慣，知道什麼樣的電子郵件會讓他們不假思索地點選。

為一個人或一種人建立現實。騙局開始了，佈景建好了，演員僱好了，這些都透過網路瀏覽器完成。

2016年初，奧地利航空零部件製造商FACC的電子郵件伺服器上收到一封釣魚郵件，請求緊急付款，這是所謂的“假總裁”騙局的一部分。“假總裁”騙局中，通常有一位權威人士發出緊急資訊，稱需要AP立即將資金匯入某境外賬戶。

FACC收到電子郵件之後操作了該次電匯，該公司損失了4，000多萬歐元，並解僱了CEO。

2016年，希拉里·克林頓競選團隊主席約翰·波德斯塔受到魚叉式網路釣魚攻擊，該事件十分有名：他收到了一封電子郵件，稱有人試圖在烏克蘭登入他的Gmail賬戶。

2018年末，Microsoft發現並關閉了六個域名，Microsoft認為這些域名是由一個被稱為俄羅斯陸軍主要情報局，或格魯烏（GRU）的組織建立的，其目標是保守黨的智庫（美國國際共和學會和哈德遜研究所）和美國參議院。

我們目前還不清楚這些釣魚網站到底是什麼樣子，也不知道它們是如何工作的。據Microsoft所知，還沒有人受到這些網站攻擊，但他們也不知道還有多少人會被魚叉式釣魚電子郵件或虛假電話誘騙，點選惡意連結。

赫利研究了網路釣魚經濟學以及安全建議的有效性，說道：“

直至今日，網路釣魚中真正的問題是……

針對證書的魚叉式網路釣魚

。這仍然是其在企業網路中站穩腳跟的一個非常成功的媒介，雖然只是少數，但很難被發現。”

在政治和工業間諜事件中，每一個潛在的受害者都值得研究和了解，來為他們的私人定製騙局建造一個合適的場景。

網路釣魚和惡意軟體並不是唯一的選擇。

將網路釣魚與惡意軟體相結合

是最有效的方法，通常是以精心製作的電子郵件形式，且附件中往往含有一份重要的、緊急的文件。

但這不是一份檔案，或者說不僅僅是一份檔案。這是一個惡意軟體，當你點選附件時，你告訴你的電腦你想安裝這個軟體，但你實際上並不知道這是軟體。

電腦服從了你的指令，並透過這樣的操作無形中把自己交給了發給你軟體的人。這種方法

透過你來控制你的電腦

，曾被用來對付全世界的記者和活動家，可能還有很多其他人，但我們知道的只有記者和活動家。

更可怕的是，在大多數情況下，

一個像樣的假網站使攻擊者無需昂貴且可檢測的惡意軟體，就能得到他們需要的任何東西

。

你只是點選了一個連結，輸入了使用者名稱和密碼，也許頁面會顯示一個錯誤，其中包含指向真正網站的連結，但這只是網路生活中的一個小插曲，一會兒就被忘記了。想到這可能就會使人感到不知所措。

你理所當然地認為應當有人來解決這個問題，而你所說的“人”指的是

科技公司

。

Microsoft、Google或任何一家科技公司最多隻能嘗試檢測惡意軟體和網路釣魚網站，並阻止它們與網際網路對話——堵塞通往場外博彩地下室的大門。

這被稱為“黑洞”，但因為在網際網路上建一百座地下室並不比建一座難多少，所以把解決問題的任務拋給科技公司也行不通。

使用者是網路釣魚中最薄弱的環節，科技公司無法提供可靠的更新來改變或阻止使用者行為

。

赫利說：“我們確實在技術修復方面進行了大量投入，比如更好的威脅檢測、更好的網路保護、進行了例如AccountGuard專案和捍衛民主專案等的努力，以及鼓勵對高價值賬戶進行雙因素認證。

但也含有教育成分；我們希望實施保護，讓使用者不再發起技術支援請求，但這樣又是行不通。”

AccountGuard和捍衛民主專案是Microsoft針對其最脆弱的（和政治性的）客戶提供的產品，但即便如此，大多數服務仍包括推薦、最佳實踐、網路研討會和通知：

試圖修補使用者方面的漏洞

。

許多安全專業人士和媒體的建議告誡人們要時刻保持警惕，注意每一個細節。這是個糟糕的建議。我是一個專業人士，在這個領域有多年的經驗，我不會費心仔細檢查我的電子郵件或仔細閱讀我的所有網址：我有其他正事要做。

作為一種在現代電子郵件中應對持續攻擊的策略，這種方法已經失敗了，即使是用來應對過去10年中那種業餘的大規模網路釣魚攻擊也是不夠的。

魚叉式網路釣魚，特別是政治魚叉式網路釣魚，更難被防範、捕捉。

安全建議前後不一，其想法很難實施，沒有意義，也不起作用，導致了災難，但安全和IT部門的憤怒程度堪比復興主義傳教士，對人們大喊大叫。這令人疲憊不堪。

根據你所使用的電腦的工作原理養成一些好習慣相對容易，比無謂偏執更有效。

儘可能在使用的網站上啟用雙重身份驗證

，包括諸如RSA令牌、Yubikeys、Google Authenticator和SMS驗證碼之類的東西，它們能夠建立登入所需的密碼和使用者名稱以外的內容，如果你的使用者名稱和密碼被盜或遭到洩露，它們能夠保證攻擊者仍然無法接管您的帳戶。

進行應用軟體更新

。或者，更佳做法是，赫利建議讓你的電腦為你做這件事。“我想鼓勵大家使用自動更新……一旦發現問題，我們就投入巨資（修復）。你會希望Microsoft的所有善舉都是有效的。”

設定需要使用者方最少操作的常規備份

。赫利說，“你不必擔心勒索軟體（或盜竊，或磁碟崩潰）……你總能拿回你的東西。

使用長、複雜且獨特的密碼，但也不要給自己造成困擾

。赫利說：“把密碼寫下來，或使用密碼管理器。”

我強烈建議使用密碼管理器

，但並不只是為了安全。密碼管理器操作簡單，可以在你以前使用過的站點上自動填寫密碼，很省力。

你現在使用的瀏覽器或作業系統中很可能內建了一個密碼管理系統，但是如果你想更加優雅地進行密碼管理，你可以使用一個線上密碼管理系統，在不同裝置之間進行同步。

不要重複使用同樣的密碼

，如果重複了，馬上去網站上更改你的密碼。這會帶來一兩個小時的痛苦，但只有一次。你自己不太可能把你的密碼洩露到網際網路上，但是你使用的網站在某個時候肯定會洩露你的密碼。

你會收到一些連結，指向你擁有註冊賬戶的網站，不要點選

，你有自己的書籤和瀏覽器歷史記錄，這些連結肯定會跳轉到正確的網站。如果你收到一封來自銀行或智庫僱主的電子郵件，

請用你的網路瀏覽器登入

。你無論如何都會走到這一步，所以不如點選你自己的連結。

要改變下面這個習慣需要一些努力，但這種操作最能保護你免受惡意軟體的攻擊：

不要在你自己的電腦上開啟電子郵件的附件

。讓人們把檔案放在一個檔案櫃網站上，比如Dropbox，然後在一個遠端服務中開啟文件，比如Google文件，讓它變成別的IT部門的問題。

不要試圖做到完美，只需要試著把自己變成對騙子來說過於昂貴的行騙目標

。讓他們付出足夠努力，你就不值得他們費心了。現在，大多數計算機使用者，不管是政治顧問、CEO、科學家還是研究人員，都不太難被欺騙。

瞭解了所有這些，那些網路釣魚活動的新聞就呈現了不同的基調。與其問：“為什麼有俄羅斯相關團體對美國的政治開展網路釣魚？”不如問：“為什麼沒有更多的政府對美國公司和機構進行網路釣魚？”

也許他們正在這麼做，只是我們沒有注意到。

不管是什麼原因，人們需要談談網路釣魚問題了，就像他們需要更新他們的軟體一樣。因為

努力理解複雜的現象，是人類隨著時間的推移而進行自我更新的方式，我們也以此方式，使駭客攻擊人類的代價和難度堪比攻擊計算機

。