2016年是 *** 攻击极其活跃的一年，全球先后发生多起大型 *** 攻击事件，例如令人震惊的造成数千万美元损失的虚拟银行劫案，蓄意破坏美国选举的黑客攻击，利用物联网设备发动的史上更大规模的DDoS攻击，以及近期席卷全球150个国家的WannaCry勒索软件攻击，至今还令人震惊。 *** 攻击不仅对企业和个人用户造成巨大的损失，甚至对国际政治、全球经济、民生安全造成不可预估的危害。

过去， *** 攻击组织主要集中利用零日漏洞发动具有针对性的攻击。但随着“漏洞赏金” 计划的日益普及，产品在开发过程中对安全因素的重点关注，以及国家、企业和个人用户对安全解决方案的采用和部署，攻击者越来越难发现和利用零日漏洞，这迫使他们转将视线重新放回到常用攻击途径——电子邮件就是其中之一，并且成为2016年最常见的攻击手段。

电子邮件再度成为攻击者的首选

2016年，恶意电子邮件成为各类 *** 攻击团伙的首选 “武器” ，无论是有 *** 背景的间谍团伙，还是电子邮件群发勒索团伙都对其情有独钟。第22期赛门铁克《互联网安全威胁报告》指出，电子邮件中的恶意软件比例在2016年出现明显上升，达到1:131，成为五年来更高比例。在中国，该情况更为严重，比例为1:63 —— 这意味着，每63封电子邮件中就有一封带有恶意软件。此外，利用鱼叉式 *** 钓鱼电子邮件的商务电邮诈骗 (BEC)骗局也收到攻击者的青睐，在 2016 年出现明显的增加。

▲ 2016年，恶意邮件比例为近5年更高 

每天有数百万攻击是通过恶意电子邮件所发起的。分析得出，恶意电子邮件受到青睐的主要原因是由于该途径的有效性——首先，电子邮件是当今极为重要的通信工具，无论企业还是个人都十分依赖电子邮件作为生活和工作的沟通工具。其次，攻击者只需要通过简单的欺骗手段便能够成功诱惑受害者打开附件、点击链接或泄露凭据，无需任何漏洞就可以完成。 

去年最典型的案例便是在美国大选前夕，黑客使用鱼叉式 *** 钓鱼邮件入侵希拉里?克林顿的竞选团队主席约翰 ?波德斯塔和前美国国务卿科林?鲍威尔的电子邮件帐户。根据调研，电子邮件在2016年被广泛使用于不同类型的复杂性攻击活动中，另一个主要的例子是破坏性恶意软件 Shamoon在沉寂四年后的卷土重来，向沙特 *** 国家的多个目标发起大量的攻击。攻击者首先向目标受害组织中的个人用户发送含有恶意链接的鱼叉式 *** 钓鱼邮件，如果用户点击该链接，则会下载类似Word或Excel的文件。一旦打开该文件，Office宏就会运行PowerShell脚本，使攻击者拥有远程访问的能力，并在受感染计算机中执行基本侦查任务。

电子邮件恶意软件激增可能与2016年大规模散播恶意电子邮件犯罪团伙的持续不断活动有关，主要传播的威胁包括：Locky、Dridex 和 TeslaCrypt。其中，金融特洛伊木马 Dridex 主要用于窃取用户的银行交易凭据。Dridex 背后的攻击者都是专业人员，他们通过不断完善恶意软件，让这些恶意电子邮件尽可能看上去合法。TeslaCrypt 和 Locky 都属于勒索软件，而勒索软件也是2016年的主要 *** 威胁之一。

2016年全球受电子邮件恶意软件威胁影响最多的行业是批发业和农业，但是增长速度最快的是运输业、金融业和采矿业。在中国，受到电子邮件恶意软件影响更大的行业是服务业(1:59)和金融、保险及房地产业(1:122)。不仅如此，在2016年，电子邮件恶意软件几乎重创了所有规模的企业。根据统计数据，全球范围来看，中小型企业(员工人数在251至500之间)受到的冲击更大，每95封电子邮件中就有一封包含恶意软件。在中国，小型企业(员工人数在1至250之间)则是重点攻击对象，每59封电子邮件中就有一封包含恶意软件。

伪装 IT工具为攻击“武器”

随着人们对 *** 安全意识的提高， *** 攻击者也在不断改进利用邮件的攻击手段，来确保目标在完善电子邮件安全防御前，抢占感染设备的先机。

Office宏和PowerShell成为常用的攻击工具，如上文提到的希拉里团队竞选主席约翰 ?波德斯塔邮箱遭遇入侵的事件。根据FBI 调查，黑客并没有利用任何恶意软件或漏洞，仅通过一封鱼叉式 *** 钓鱼邮件，便成功入侵约翰 ?波德斯塔的设备。该钓鱼邮件伪装成来自 Gmail 官方管理员的邮件，并在邮件中表示：受害人的邮箱可能已经受到感染，提示他需要重设密码来确保账户的安全。该钓鱼邮件中包含了一个短URL来掩饰真正的恶意URL。当受害人点击该URL，就会进入一个“冒牌”的 Gmail账户密码重置网页。整个攻击过程中，黑客仅通过简单的社交诈骗技术，便轻松获取了目标设备的密码。