自从上次某用户和安全GPT研发老哥的故事《又有员工被钓鱼了？我半夜三点从梦中惊醒》发出来之后，收到了一些不同的声音：

　　“你们钓鱼攻击检出率是怎么算的？怎么对比的？”

　　“什么叫高社工、高对抗钓鱼样本测试？会不会是提前设计好的？”

　　正好，近期深信服与某行业头部大型企业（以下称为某大企）做了一次与传统邮件安全防护架构对比的真实效果检测。2天时间内，安全GPT共检出了213封恶意钓鱼邮件，精准率95.8%，而传统邮件安全防护架构检测精准率仅为49.85%，不仅包含了垃圾邮件，也将许多白邮件也拦截了下来。

　　其中，安全GPT独报了86封钓鱼邮件攻击，是某大企现有邮件安全防护架构都无法检出的高级钓鱼攻击，主要类型有：二维码嵌套加密附件钓鱼，网站白利用钓鱼，时间对抗钓鱼。

　　可见，传统检测技术固然能够过滤掉强特征的钓鱼邮件，但真正难防的，是高社工、高对抗的钓鱼攻击。

　　什么叫高社工、高对抗钓鱼？通过本次攻击者和安全GPT的几个“过招”，也许大家能够对网络钓鱼攻击的“套路之深”窥见一二。

　　招式一：二维码嵌套加密附件钓鱼

　　某员工收到一封主题为“退税通知”的邮件，邮件内有附件“退税操作指引.zip”。但是该附件有密码加密，且密码在邮件正文中，在正文中有“附件密码：4个2”的相关内容。

　　员工下载附件解密后，解压压缩包，释放出“退税操作指引.docx”和“附件密码tszy.txt”两个文件。用附件密码打开“退税操作指引.docx”，发现文档放了一个二维码，扫码后进入钓鱼页面。

　　传统检测技术解法

　　传统检测技术能够识别“附件密码：2222”，打开附件看是否有恶意域名链接；但无法识别“4个2”进行解密，即使解密，也无法通过释放的文件进行第二层解密，很可能当作正常邮件放过或拦截后需要人工介入。

　　安全GPT「接招」

　　安全GPT了解其邮件意图后，进行了如下几步操作：

　　1、像安全专家一样从邮件正文中理解并提取出附件密码“2222”，并使用密码打开压缩包；

　　2、发现压缩包内还有第二层解密，便从“附件密码tszy.txt”提取出密码，对文档进行解密；

　　3、打开文档后，发现二维码，安全GPT使用工具扫描二维码，得知其具体链接；

　　4、通过查询情报等信息结合判断（罕见域名后缀、域名没有备案），得出该链接非官方、是钓鱼链接的结论。

　　招式二：网站白利用钓鱼

　　某员工收到一封主题为“邮箱升级通知”的邮件，提示用户点击某链接。

　　员工点击链接后，随即会跳转到另一个链接里，要求输入账号密码登录邮箱，输入后，账号密码便落入攻击者手里。

　　传统检测技术解法

　　tinyurl是一家短链接服务提供商，在各家情报中信誉都是高可信。传统检测技术识别到高信誉链接便认为邮件是合法的，自然将此邮件放过，却不知攻击者只是将钓鱼链接套上了“高信誉”的壳。

　　安全GPT「接招」

　　安全GPT从邮件头部、邮件链接和情报信息综合判断该邮件为钓鱼邮件。

　　安全GPT会使用爬虫工具进行访问，发现跳转到另一个链接，随后跟踪页面，发现是一个登录框，同时查看页面源码发现存在克隆特征且表单提交地址十分可疑，再结合情报信息，该链接的域名注册年龄较短，且无备案信息（不符合国内法律法规），综合判断得出是钓鱼邮件的结论。

　　招式三：时间对抗钓鱼

　　某员工收到一封主题为“紧急内部通知，注意查收”的邮件，邮件内有一个图片，是个二维码，要求用户扫码按照指引操作。

　　扫码访问发现页面提示：“当前非工作时间，请于早上7:00后再提交申请”。页面跟真实业务几乎一致。员工第二天访问，即弹出登录页面，一旦输入，账号密码就被攻击者掌握。

　　传统检测技术解法

　　因为链接并不会第一时间跳转到钓鱼界面，传统检测技术不会发现任何异常，也不会到第二天再去跟踪访问，因此会判定为正常邮件。

　　安全GPT「接招」

　　安全GPT使用工具扫描二维码，识别到正常的工资收入退税申报的官方业务网页维护，不会出现“当前非工作时间”并要求第二天访问的描述，像安全专家一样判断其意图异常。再结合发件人身份、邮件主题及紧急诱导语气等信息综合判断，给出是钓鱼邮件的结论。

　　通过以上几个案例，可以清晰地看到，传统基于静态特征（如关键词过滤、黑名单等）的防钓鱼检测技术很难应对各种新型的、组合型的对抗手段，也无怪乎钓鱼攻击一直稳居“CIO头疼榜”前排。

　　安全GPT带来的不是更广更全的钓鱼攻击特征库，而是以网安领域Game Changer的思路，为用户带来拥有大脑和思维的防钓鱼安全专家，能够对“百变”的钓鱼攻击行为做出理解和判断。（安文）