早上刚到公司,小李就收到一封“银行”发来的邮件,说他的账户异常,需要立即点击链接验证身份。他没多想就点进去,输入了账号密码。不到十分钟,银行卡里的钱就被转走了。
这封邮件就是典型的钓鱼邮件,而它携带的“漏洞”才是真正危险的部分
很多人以为,只要不乱点链接、不填信息就安全了。但现在的钓鱼邮件早已不只靠骗你手动输入信息,它们会悄悄利用系统或软件的漏洞,让你在毫无察觉的情况下中招。
比如,某些钓鱼邮件里嵌入了一张看似普通的图片。但实际上,这张图片的地址指向一个恶意服务器。当你打开邮件预览时,邮箱客户端自动加载图片,就会触发远程代码执行漏洞——你的电脑可能已经被植入木马,整个过程连点击都不需要。
Office文档也是常见载体
另一类常见手法是发送一个“发票”或“合同”作为附件,文件格式是.doc或.xls。这类文件可能利用Office的宏漏洞或OLE对象漏洞,在你打开文档时自动下载并运行恶意程序。哪怕你没启用宏,某些版本的Office在解析文件时也会自动触发漏洞。
例如,攻击者可以构造一个包含恶意RTF(富文本)内容的邮件正文,利用Windows系统的字体解析漏洞,直接在预览窗口执行代码:
{\rtf1\ansi\ansicpg936\uc1\htmautsp\deff0{\fonttbl{\f0\fcharset134 \'cb\'ce\'cc\'e5;}}
{\colortbl\red0\green0\blue0;}
\loch\af0\afs24 \ltrch \f0 \fs24 \cf0 {\field{\*\fldinst{\ll \eq \\o\\{a\\} }}{\fldrslt{\cf0 \\u8232?}}}这段代码看似无害,但在特定环境下会触发内存溢出,进而控制用户系统。
浏览器也不是绝对安全
即使你只在网页端看邮件,某些钓鱼链接会导向伪造的登录页,页面设计得和正规网站几乎一模一样。更狠的是,这些页面还会检测你是否使用公司网络或特定设备,如果是,就自动加载针对企业内网的漏洞利用脚本,尝试横向渗透。
有些漏洞甚至存在于广告组件中。你打开邮件里的链接,页面加载了一个第三方统计脚本,而这个脚本已被劫持,利用浏览器零日漏洞安装监控软件。
如何应对这种带漏洞的钓鱼邮件
最基础的做法是保持系统和软件更新。很多漏洞早在几个月前就已经被厂商修复,但如果你还在用旧版Office或没打补丁的Windows,那就等于开着门等贼进来。
邮箱设置也很关键。关闭自动加载远程图片,禁用HTML邮件的脚本执行,能挡住一大半攻击。企业用户建议开启邮件沙箱机制,所有可疑附件先在隔离环境运行一遍,确认无害再放行。
另外,别轻信“紧急”通知。银行不会通过邮件让你点链接改密码,公司IT部门也不会用QQ邮箱发系统升级提醒。遇到这类消息,直接打电话核实,比什么都靠谱。
老王就是吃了亏才明白这点。他收到一封“税务局”的邮件,附了个PDF说有退税要办。他用手机打开,结果第二天手机就开始弹广告,微信还被用来发诈骗信息。后来才知道,那个PDF利用了安卓PDF阅读器的一个缓冲区溢出漏洞,早就不是简单的假文件了。
现在,每次看到陌生邮件带附件或链接,他第一反应不是打开,而是截图发给懂技术的朋友看看有没有猫腻。