1.1 网络钓鱼基础

让我们从一些基本问题开始：什么是网络钓鱼？我们把它定义为：以对收件人施加影响或获得个人信息为目的，发送看似来自权威来源的电子邮件。简单地说，网络钓鱼就是坏人发送一些鬼鬼祟祟的电子邮件。网络钓鱼结合了社会工程学和诈骗技巧。它可能是一个电子邮件附件，会加载恶意软件到你的计算机，也可能是到非法网站的一个链接，这些网站会诱骗用户下载恶意软件或泄露个人信息。此外，鱼叉式网络钓鱼是一种非常有针对性的攻击方式。攻击者花时间对目标进行研究，然后创建与目标个人信息相关的或者私人化的电子邮件。正因为如此，鱼叉式网络钓鱼非常难以检测，也更加难以防御。

在这个星球上，任何一个拥有电子邮箱的人可能都收到过网络钓鱼邮件。根据报告里的数据来看，许多人都点击过邮件里的链接。不过要明白，点击链接这个行为并不能说明你笨，这只是一个由于你没有考虑周全而犯下的错误，或者是由于你没有足够的信息而做出的一个错误决定。（我有一次开车从密西西比州的比洛克西市出发，一口气开到了亚利桑那州的图森市，这才是真的笨。）

可以说网络钓鱼攻击的目标和攻击者都有常见的类型。网络钓鱼者的动机往往相当典型：钱或信息（通常也和钱有关）。如果你曾收到电子邮件，敦促你协助被废黜的王子转移他继承的遗产，那么说明你也是骗局中的一部分。富有的人毕竟是少数，但是当一群普通人捐赠小额的“转账费”以协助王子进行周转时（往往是钓鱼邮件中提出的要求），网络钓鱼者就大发其财了。或许你曾收到过来自银行的电子邮件，让你提供个人信息。如果你的身份被盗，那么可能会导致严重的后果。

其他可能的目标包括任何一家公司的普通职员。虽然职员单独掌握的信息可能有限，但把登录信息误交给黑客，会让黑客得以进入公司网络。如果黑客认为收获足够大，那么攻击可能到此结束；否则这也可能是另一起更大攻击的开始。

除了普通人以外，还有一些高价值目标，包括大公司或者政府的高层人员。在组织中的地位越高，越有可能成为鱼叉式网络钓鱼攻击的目标，因为攻击者所花费的时间和精力将会得到不菲的回报。这时整个经济体而非个人的损失会非常严重。

如果攻击者并非普通犯罪，动机也不是迅速赚钱，那么攻击的理由和攻击者本身就会变得非常可怕。有些人出于政治目的或者个人信仰而让大型组织难堪。举个例子，最近很多案例中都提及了叙利亚电子战部队（Syrian Electronic Army, SEA），他们的钓鱼攻击给一些媒体造成了损失，包括美联社（AP）、美国有线电视新闻网（CNN）和福布斯（Forbes）等。显然，钓鱼攻击也造成了经济损失。举个例子，对美联社的Twitter账号进行攻击，导致美联社的道琼斯指数下跌了143个点（见图1-1）。这可是不小的损失。媒体本身的公信力和声誉也受到了影响。我们可以为哪个后果更严重而争论一整天。不过从积极的方面来说，它确实也让我们反思：社交媒体真的是用来获取可信的爆炸性新闻的最佳途径吗？

往更深处说，让我们从公司或者国家层面谈谈网络间谍活动。这里我们讨论的是商业秘密、全球经济和国家安全。在这一点上，即使是最无知的公民都清楚后果。

我想说，网络钓鱼其实与每个人都息息相关，而不仅仅是与安全人员相关。你可能不会每天都思考网络间谍的问题，但是你肯定关心自己的银行账户和信用卡积分。我的母亲仍然没有搞清楚如何在她的电话上查看语音邮箱（真事），但她的确知道不应该打开来自陌生人的电子邮件。你的母亲也应该遵循这条规则。

你现在知道什么是网络钓鱼、是谁发动的钓鱼攻击以及他们为什么要发动钓鱼攻击了。接下来看看他们是怎样进行网络钓鱼攻击的吧。