钓鱼防范手册
去年给公司写的钓鱼防范手册,有更简练的PDF供日常员工阅读,这版字数多的是我内部培训时使用
因为当时有较多钓鱼邮件被邮件网关拦截和员工反应有较多钓鱼邮件和电话,加之原本钓鱼防范手册过于简单,故重写钓鱼防范手册
第1章 认识钓鱼攻击:我们最大的威胁之一
1.1 什么是钓鱼攻击?
钓鱼攻击是一种利用人性弱点而非技术漏洞的网络欺诈手段。攻击者通过精心伪装的通信方式——如电子邮件、即时消息、短信或电话——冒充您信任的个人或机构(如公司高管、IT部门、银行、知名供应商或监管机构),诱骗您执行危险操作。这些操作包括点击指向恶意软件的链接、下载包含病毒的附件、或在伪造的登录页面上输入账号、密码、短信验证码等敏感信息。攻击者的核心策略是利用人们的信任感、紧迫感、好奇心或恐惧心理,绕过所有技术防护措施,直接从“人”这一环节实现突破。
典型案例:2020年推特比特币骗局
攻击者通过电话钓鱼手段获取了推特员工的内部系统凭据,随后接管了多个知名账号(包括奥巴马、比尔·盖茨、巴菲特等),发布”将比特币发送至指定地址,将双倍返还”的推文,在短短几小时内骗取价值超过10万美元的比特币。此案例证明,即使是最科技的公司,也难逃人为因素导致的安全漏洞。
1.2 为什么金融行业是重点目标?
金融行业是数据与资金的核心枢纽,自然成为攻击者眼中的”高价值目标”。其吸引力具体体现在:
- 攻击回报率高: 金融行业攻击成功直接掌控大量资金和大量金融合作行业资料,一次成功的商务邮件诈骗(BEC)可能导致数百万资金瞬间被转移至海外账户,追回极其困难。
- 数据金矿: 持有海量高敏感数据,包括客户身份信息、资产状况、投资偏好、交易记录、信贷数据等。这些数据在黑市上售价高昂,可用于精准诈骗、身份盗窃或其他犯罪活动。
- 严格的监管要求: 金融行业受严格监管,攻击者常冒充监管机构发送”处罚通知”或”合规检查”要求,利用员工对权威的畏惧心理使其匆忙行事,不加核实。
- 公开信息丰富: 公司官网、高管在行业论坛的演讲、员工在领英等社交平台的资料,都为攻击者实施”鱼叉式钓鱼”提供了免费的情报来源,使其诱饵极具欺骗性。
- 品牌与声誉敏感: 金融行业的信任度极其重要,即使是小规模的信息泄露或诈骗成功,也可能引发客户恐慌及信誉受损,攻击者正是利用这种名誉的敏感性加大威胁和勒索筹码。
- 员工防范意识淡薄: 在金融行业中,大部分员工并非信息科技专业人员,对计算机和网络安全知识了解有限,日常工作中往往忽视基本的安全规范(如不定期修改密码、随意点击邮件附件或链接)。这类松懈的安全习惯极易被不法分子利用,导致钓鱼邮件、社工欺诈等攻击成功率上升,从而可能造成客户信息泄露、账户被盗用,甚至影响金融机构整体的业务连续性与声誉。
1.3 攻击者的目标是什么?
攻击者的最终目标是牟取非法利益,其具体途径包括:
- 直接财务窃取: 通过欺诈性转账指令盗取公司资金,或通过获取的支付凭证盗用客户资产。
- 窃取商业机密: 获取未公开的财务报告、并购计划、投资策略、算法模型等,用于内幕交易、商业竞争或出售。
- 构建攻击跳板: 以普通员工或高管的电脑为初始入口,横向移动渗透至核心系统(如交易系统、数据库),进行长期潜伏和更大规模的窃取。
- 身份伪装与欺诈: 盗用员工邮箱账号权限,进一步向内部其他同事、客户或合作伙伴发送欺诈邮件,形成连锁反应,破坏信任链条。
- 破坏系统与勒索: 部署勒索软件,加密公司重要文件,以此要挟支付巨额赎金。
典型案例:2023年某证券公司勒索软件事件
一名员工点击了伪装成客户询价的恶意邮件附件,附件内包含勒索软件,点击立即执行恶意软件,导致勒索软件在内部网络扩散,加密了交易系统和客户数据库。攻击者要求支付1000万元比特币赎金,公司业务瘫痪三天,最终虽未支付赎金,但数据恢复和业务中断损失巨大。
第2章 电子邮件钓鱼:识别与防范
2.1 普通钓鱼与鱼叉式钓鱼
- 普通钓鱼(Spam Phishing): 采用广撒网的策略,内容泛泛且模板化,如”您的账户存在异常,请立即登录验证”、”恭喜您获奖,请点击领取”。虽然数量庞大,但因缺乏针对性,较容易通过警惕性和垃圾邮件过滤器识别。
- 鱼叉式钓鱼(Spear Phishing): 这是针对特定个人或小群体(如高管团队、财务部、人力资源部)的高度定制化攻击。攻击者会花费大量时间研究目标,其在社交媒体上的动态、公司新闻稿、组织架构等都会成为制作诱饵的素材。邮件内容极具相关性,例如:”张总,您刚才在XX金融峰会上的演讲非常精彩,这是您要的会议纪要草案”,附上一个带有病毒的Word文档。其伪装极其逼真,成功率远高于普通钓鱼。
典型案例:2022年某资管公司财务欺诈案
攻击者通过领英研究了该公司CFO的言行习惯,然后注册了极相似的邮箱域名,向财务总监发送邮件:”赵总监,请立即处理一笔紧急并购保证金付款,详情见附件。此事需保密,手续后补。”附件是一个带有密码的压缩文件,解压后运行其中的”付款说明.exe”,实则木马程序,最终导致公司损失2800万元。
2.2 鱼叉式钓鱼深度解析:针对高管的精准陷阱
典型案例详析:
2023年末,某基金公司投资总监李总收到一封发自”王董事长”的邮件。邮件主题为:”急事,速办!”。邮件正文写道:”李总,我正在与对方谈一个紧急的投资协议,需要立即支付一笔¥985,000的保证金至以下账户(账户信息:xxx银行,xxx户名,xxx账号)。此事涉及商业机密,请单独优先处理,手续后补。转账成功后邮件回复我即可,无需电话,我仍在会议中。”
攻击手法拆解:
- 情报收集: 攻击者通过领英掌握了公司高管姓名、架构,通过新闻了解到公司近期投资动态,从而编造了合情合理的业务场景。
- 伪造发件人: 显示名设为”王董事长”,邮箱地址为
wangcha0rman@company.com(用数字0替代了字母o),极具迷惑性。 - 心理操控: 权威性: 冒充最高领导,利用下属通常不会质疑上司的心理。 紧急性: “急事”、”速办”、”会议中”等词制造压力,迫使对方快速行动,放弃思考。 保密性: “单独处理”、”手续后补”诱导受害者打破常规财务流程。 抑制核实: “无需电话”直接封死了最有效的核实渠道。
2.3 【重点】如何识别可疑邮件?
所有员工都应养成审视邮件的习惯,请对以下特征保持高度警惕:
1. 识别可疑邮件
- 发件人邮箱:检查是否与官方域名一致,注意细微差别(如
@paypa1.com替代@paypal.com)。 - 主题与内容:过于紧急(如“立即处理”“账户冻结”)、承诺利益(如“中奖通知”)或带有恐吓威胁的邮件,要特别谨慎。
- 语气与格式:钓鱼邮件常出现语法错误、生硬翻译、非正式称呼。
2. 处理附件与链接
- 不要随意点击邮件中的超链接,先将鼠标悬停在链接上,查看真实跳转地址。
- 避免直接打开未知来源的压缩包、可执行文件(.exe/.bat/.scr)或宏文档(.docm/.xlsm)。
- 需要下载时,优先通过 公司内网或官方网站 获取。
3. 验证可疑信息
- 收到涉及转账、合同、监管通知等敏感邮件时,通过电话或内部系统二次确认,不要依赖邮件回复。
- 对于“领导紧急指令”“财务转账指示”,要走正规审批流程,切勿因“怕得罪人”而跳过验证。
4. 账号与密码管理
- 不在邮件中输入公司账号、VPN口令、网银密码等敏感信息。
- 使用 强密码 + 多因素认证(MFA),即使凭证泄露也能降低风险。
5 . 保持警觉习惯
- 养成“零信任”心态:任何要求输入凭证、下载文件、跳转外链的邮件都先怀疑。
- 定期学习最新的钓鱼案例和了解最新钓鱼信息,提高安全意识。
【高管专属警惕清单】
高管因其权限巨大,更需谨记:
- 任何涉及资金转移的指令,无论金额大小、无论来自”董事长”还是”CFO”,必须通过线下已知号码电话或当面进行二次确认。邮件本身不能作为执行转账的唯一依据。
- 任何索要员工花名册、客户清单、财务报告等敏感数据的请求,必须核实请求者的真实身份和正当目的。
- 警惕”内部投诉”、”法律传票”、”监管问询”等主题邮件,攻击者可能利用您维护公司声誉的心理诱导您点击恶意链接。
2.4 【重点】收到可疑邮件怎么办?(”三不一动”原则)
- 不点击: 绝对不要点击邮件中的任何链接、按钮或图片。
- 不下载: 绝对不要下载、打开或运行任何附件。
- 不回复: 绝对不要回复该邮件,即使是为了质问对方,这只会确认您的邮箱是活跃的。
- 一动:立即报告! 这是最重要的一步。不要自行处理或删除邮件。请立即按照第5章所述的应急响应流程,打电话给信息安全部,并将原始邮件作为附件转发给指定邮箱,以供专业分析。
典型案例:2023年某期货公司员工成功处置案例
交易员小王收到”IT部门”发来的”系统升级通知”邮件,要求点击链接更新交易软件。小王察觉发件人邮箱可疑,立即拨打安全部热线。经查,该链接指向境外钓鱼网站。因报告及时,安全部门迅速全网预警,阻止了潜在的大面积感染。
第3章 电话与短信钓鱼(Vishing & Smishing)
3.1 假冒公职人员(警方/检察院/法院/监管机构)
- 手法详解: 这是针对金融从业人员最具威胁性的电话钓鱼手法之一。攻击者利用人们对公权力的敬畏心理和對司法程序的陌生感,实施精准诈骗。常见剧本包括:
- 涉嫌洗钱/诈骗案调查: 冒充”市公安局经侦支队”或”反诈中心”,准确报出您的姓名、身份证号甚至工号,声称您的银行账户或您经手的业务涉嫌重大洗钱、诈骗案件,要求您”配合调查”。为”证明清白”,需要您提供账户信息、密码、短信验证码,或将资金转入所谓的”安全账户”进行”资金清查”。∙传票/法律文书送达: 冒充”法院”或”检察院”,称您或公司有传票未领取、涉嫌某起经济案件,要求您点击短信中的链接查阅电子传票,或下载附件中的”起诉书”(实为木马文件)。
- 监管处罚与合规检查: 冒充”银保监会”、”证监会”或”中国人民银行”的执法人员,以”现场检查发现严重问题”、”接到客户投诉需立案处理”为由,要求您立即通过QQ、微信等外部渠道提供内部资料、数据报表,或缴纳”罚款”。
- 关键特征:∙能准确说出您的部分个人信息,增加可信度(这些信息可能来自之前的数据泄露)。语气强硬、严厉,制造巨大的心理压力和紧迫感,让你无暇思考。∙要求绝对保密,不能与同事、家人透露,以此隔绝你获取他人帮助的可能。∙最终目的都是索要敏感信息、要求转账,或让你在设备上安装远程控制软件/访问钓鱼网站。
典型案例:2023年某银行理财经理”涉嫌洗钱”案
理财经理小王接到自称”上海市公安局经侦总队李警官”的电话,对方准确报出了其姓名、身份证号和职业,称其日常使用的公司的一张银行卡被卷入一宗特大跨境洗钱案,要求其立即”配合秘密调查”。为”排除嫌疑”,需要其提供公司相关敏感信息配合调查,并强调此事涉及国家机密,不得告知任何人,包括同事和领导。小王在极度恐慌下,险些按要求操作,最后因想起安全培训内容,拨打公司安全热线核实后才避免上当。
3.2 假冒技术支持
- ∙手法详解: 攻击者通常会声称来自”IT支持中心”、”系统运维部”或”微软/银行客服”。他们谎称:”监测到您的电脑正在向网络发送病毒”、”您的OA账户出现异常登录”、”需要为您紧急安装安全补丁”。随后会要求您:∙提供您的用户名和密码用于”验证”或”重置”。∙访问一个伪造的内部登录页面(如VPN门户)输入凭证。∙在电脑上安装AnyDesk、TeamViewer等远程控制软件,从而直接操控您的电脑。
典型案例:2022年某银行分行远程控制事件
攻击者冒充”总行科技部”致电分行员工,称其电脑中毒需远程清理。员工按要求安装了远程控制软件,攻击者在操作过程中暗中安装了键盘记录器,窃取了多名员工的银行系统密码,最终导致客户资金被盗。
3.3 假冒合作伙伴/客户
- ∙手法详解: 攻击者冒充与公司有业务往来的合作伙伴、律所、会计师事务所或重要客户,以”紧急项目”、”合同款支付”、”数据核对”等为由,通过短信或电话要求您:∙更改收款账户信息。∙提供项目相关的敏感内部数据。∙点击链接登录所谓的”合作平台”签署文件或查看详情。
典型案例:2024年某基金公司假冒律所事件
攻击者冒充长期合作的律师事务所,给基金运营部发短信称:”根据最新监管要求,本所银行账户信息已变更,请参考链接内的最新通知,即刻起所有付款请付至新账户。”幸而被多次安全培训的运营总监识破,经电话直接与律所合伙人核实,确认为诈骗。
3.4 【重点】防范与应对技巧
- ∙保持冷静,破除恐惧: 这是最关键的第一步。所有公检法机关办案都有严格的法律程序,绝不会通过电话、QQ、微信等社交工具办案,也根本不存在所谓的”安全账户”。一旦对方以涉嫌犯罪为由恐吓您并要求转账或索要密码,100%是诈骗。
- ∙主动且独立核实: 挂断电话。通过官方渠道(如拨打110、或使用公司通讯录/官网上的电话)主动回拨过去,验证刚才通话的真实性。切勿使用对方提供的或来电显示的回拨号码。
- ∙牢记原则:∙真正的公职人员、IT人员、同事绝不会通过电话、短信索要您的密码、短信验证码。∙公司绝不会要求员工向个人账户或不明账户转账。任何要求您断开与外界联系、保密的电话,都是诈骗的标志。
- ∙官方渠道验证: 监管机构、法院的通知一定会通过官方正式公文渠道传达,绝不会以个人手机号发送短信或打电话要求立即办理。
- ∙立即报告: 无论是否上当,收到此类电话或短信后,都应立即按照第5章流程向公司信息安全部报告。您的信息可能帮助公司预警,保护其他同事。
3.5 深度伪造语音(AI诈骗)预警
∙最新威胁: 随着AI技术发展,攻击者可能利用公开视频会议中的音频,通过AI合成特定人员(如高管、合作伙伴)的语音,通过电话实施诈骗。例如,模仿CFO的声音给财务人员打电话,要求紧急付款。
∙应对措施:
建立二次验证密语: 对于关键业务指令(如转账),可通过事先约定的、不易被猜到的密语进行验证。
多因素确认: 通过多种独立渠道确认指令真实性(如接到语音电话后,通过企业微信或电话再次向本人确认)。
提高警惕: 意识到技术带来的新风险,对任何仅通过语音发出的异常指令保持极高警惕。
**谨慎操作:**对于敏感的操作例如汇款、修改密码等操作,不轻信电话、语音等消息来源,请多方确认,例如电话+邮件+工单+内部OA多方确认方可进行操作。
第4章 社交工程防范:人心是最薄的防线
4.1 什么是社交工程?
社交工程是一种”黑客艺术”,它通过人际交流中的欺骗、影响和操纵来获取信息或访问权限。它不攻击系统,而是攻击系统的使用者。攻击者会伪装成同事、供应商、新员工、IT支持甚至高管,通过聊天、求助、套近乎等方式,让您在毫无戒备的情况下泄露信息或授予权限。
典型案例:2019年某保险集团社交工程渗透
攻击者伪装成快递员进入办公大楼,然后冒充IT人员到各部门”检修网络”,趁机在多名员工电脑上安装窃密软件,最终获取了大量客户保单信息和内部定价策略。
4.2 常见手法
- 领英/微信伪装: 攻击者伪造一个完美的职业档案,添加您为好友,在逐渐取得信任后,开始询问:”对了,你们公司负责XX系统的是哪位同事呀?我想请教个技术问题。” 或”这个项目真好,能分享一下你们内部的方案模板吗?”
- 假冒新员工/实习生: 冒充刚入职的新人,向相邻工位的同事”求助”:”王哥,我的账户好像权限不对,访问不了共享盘,能把你那个文件发我邮箱一份吗?”
- 尾随(Piggybacking): 在您刷卡进入门禁时,假装忘带门卡,十分自然地跟着您进入办公区域。
- 交换名片/资料: 在行业会议中,通过交换U盘、名片或资料的方式,传递带有恶意软件的存储设备。
典型案例:2022年某私募基金信息泄露事件
攻击者伪装成同行研究员,在行业会议上与基金经理交换了带有恶意软件的U盘(标签为”行业研究报告”)。基金经理在办公室电脑上打开U盘后,木马程序自动安装,导致木马在内网大规模传播,导致大量投资策略和交易记录被窃。
4.3 【重点】如何保护自己和公司信息?
1. 最小信息原则
- 在任何场景下,仅提供完成任务所需的最小化信息。
- 对信息敏感度进行分级(如“公开”“内部”“敏感”“机密”),不同级别严格区分传递范围。
2. 验证身份
- 对提出请求的人或组织进行多渠道验证(如公司邮箱、官方电话、视频会议确认)。
- 特别注意“紧急请求”“领导指令”“监管通知”等场景,避免因权威或压力而跳过验证。
3. 遵守流程
- 严格通过公司批准的渠道共享信息(如内部文件服务器、加密邮件、VPN访问)。
- 禁止通过私人邮箱、社交软件、U盘等不受控渠道传递公司敏感数据。
- 对涉及财务、客户信息、系统访问权限的请求,必须有书面或系统内的审批记录。
4. 物理安全警惕
- 出入办公区时,确保门禁卡不被尾随进入者利用。
- 对陌生访客保持礼貌但谨慎的态度,必要时引导其到前台或安保处。
- 对含敏感信息的纸质文件、移动介质(U盘、硬盘),离开座位时应妥善保管或加锁存放。
5. 提升安全意识
- 定期接受安全意识培训,学习最新的钓鱼、社工案例。
- 鼓励员工形成“零信任”习惯:对任何不寻常的请求保持怀疑。
- 建立简便的 可疑事件报告机制(如安全邮箱/热线),确保员工在遇到疑似社工攻击时第一时间上报。
典型案例:2023年某券商员工成功防范案例
研究员小李在领英上收到”同行”添加请求,对方在聊天中不断打听公司研究框架和内部数据来源。小李警觉后,通过公司邮箱向该机构官方邮箱核实,发现无此人存在,成功避免信息泄露。
第5章 【重点】应急响应流程:发现可疑,立即行动!
时间就是金钱,在安全事件中,时间能阻止损失。请将以下流程肌肉记忆化:
5.1 第一步:立即停止任何行动
- 立即停止与可疑邮件、电话、短信或人员的任何互动。如果正在通话,礼貌地挂断电话;如果正在查看邮件,不要再进行任何操作。
- 如果攻击已经发生,也请立即停止任何行动并第一时间拨打信息安全部7x24小时值班电话,听从安全人员指挥,切莫擅自行动造成更严重的损失。
- 请牢记,信息安全无小事,宁可错报也不可不报
- 切记不要因为害怕被问责而隐瞒真相,否则损失只会更大,责任也会到一个无法估量的地步
典型案例:2024年1月某财务人员及时止损
财务小张收到”CEO”要求紧急付款的邮件,正准备操作时想起安全培训内容,立即停止操作并报告。后经核实为钓鱼邮件,避免了50万元损失。
5.2 第二步:立即报告!(Call & Ticket & email 三线报告)
这是强制性的规定动作,请您务必严格执行:
- CALL(首要动作): 立即拨打信息安全部7x24小时值班电话。这是最快速、最直接的途径。安全工程师可以立即启动监控和阻断措施,防止危害扩散。通话时请清晰说明:”我发现一个可疑邮件/电话,发件人是XXX,主题是XXX。”
- TICKET(后续跟进): 对于邮件: 将可疑邮件作为附件完整转发至安全组邮箱。(重要:务必选择”作为附件转发”,而不是直接转发,这样可以避免误点击邮件中的恶意链接)。 对于短信/电话: 立即在内部工单系统中创建新工单,分类为”安全事件”,详细描述事件经过(时间、来电号码、对方声称的身份、谈话内容、要求等)。
- **Email(邮件通知):**将工单编号和详细经过在邮件中交代完全,如有附件请选择作为附件转发,尽可能详细描述事件情况,方便后续追查处理。
典型案例:2023年某分公司协同防御
北京分公司员工收到钓鱼邮件后立即上报给信息安全部后,安全部门10分钟内全国公司内部预警,阻止了上海、广州分公司多名员工点击同一批钓鱼邮件,实现协同防御。
5.3 第三步:配合调查与事后处理
- 安全部门的同事可能会联系您了解更详细的细节,请耐心配合,您的信息对追踪攻击源至关重要。
- 如果您的密码可能已经泄露,或您已经点击了链接/附件: 立即告知接听电话的安全工程师这一情况。 立即在另一台干净的设备上(如手机)更改您的相关系统密码(邮箱、OA、VPN等)。 配合IT部门对您的电脑进行安全检查或隔离。
典型案例:2024年某员工中招后妥善处理
交易员小刘点击了恶意链接后意识到不对,立即拨打电话报告。安全部门迅速隔离其电脑,指导其更改密码,避免了凭证泄露和进一步损失。
附录A:常见钓鱼攻击特征快速查询表
| 攻击媒介 | 高度可疑特征 | 应立即采取的行动 |
|---|---|---|
| 电子邮件 | 发件人地址可疑、紧急/威胁语气、要求转账或数据、意外附件、链接指向陌生网址 | 停止操作 -> 立即Call安全部 -> 将邮件作为附件转发上报 |
| 电话(Vishing) | 索要密码/验证码、要求远程控制电脑、指导您禁用安全软件、自称监管机构施加压力 | 礼貌挂断 -> 用已知官方号码回拨核实 -> 立即Call安全部报告 |
| 短信(Smishing) | 内含链接、冒充官方机构(银行、监管)、要求登录某网站办理业务、发送验证码 | 勿点击 -> 立即Call安全部 -> 截图或转发短信内容上报 |
| 社交工程 | 陌生人套取组织架构、技术信息、业务流程;尾随进入办公区;请求违规发送文件 | 拒绝提供 -> 核实身份 -> 报告可疑行为 |
附录B:信息安全部报告渠道与联系方式
信息安全部7x24小时应急响应热线:
- 电话1:【请在此填入安全部7x24小时值班电话】
- 电话2:【请在此填入安全部7x24小时值班电话】
- 应急电话1:【请在此填入安全部7x24小时值班电话】
- 应急电话2:【请在此填入安全部7x24小时值班电话】
事件上报邮箱:
- 邮箱:【请在此填入安全事件上报邮箱】 (请注意:上报可疑邮件时,请务必将其作为附件转发)
内部工单系统:
- 路径:【请在此填入内部工单系统具体路径或链接】
- 分类:请选择”信息安全事件”
信息安全部办公地点:
- 【请在此填入具体位置】
温馨提示: 建议将安全部值班电话存入您的手机通讯录,并将其设置为快速拨号之一,以备不时之需。
附录:手册修订记录
我们将定期更新本手册以应对不断变化的威胁。请始终从内部门户获取最新版本。
| 日期 | 修订内容 | 操作人 |
|---|---|---|
| 2024.10.10 | 创建手册 | Winter |
| 2024.12.31 | 更新内容和联系方式 | Winter |
| 2025.08.01 | 添加深度伪造语音(AI诈骗)预警 | winter |
| 2025.08.03 | 添加特征快速查询表 | Winter |
| 2025.08.30 | 更新安全部办公地点 | Winter |
您的警惕性(Vigilance),是我们安全防线中最关键、最有效的一环。安全之路,你我同行。