【专家博客】SCADA安全：“网络钓鱼”时代来临了

       上周我收到一封声称来自美国国税局(IRS)的邮件（见下文）。

网络钓鱼，如同捕鱼，都是有利可图的。图片来源：Fotopedia

      注意，美国国税局在员工的邮件地址里使用西里尔字母！而且他们使用AOL的邮件服务，而不是irs.gov。（美国的预算封存真的严重到如此程度了吗？）

      第三个有意思的地方是，本该连接到(irs.gov/pub/irs-pdf/forms2012/)的链接，实际上连到了prospectrealty.net/wp-content/plugins/Bridge-Book-Printer/forms.htm.（Prospect Realty请注意—你可能需要提高网站的安全性了。）

“网络钓鱼”时代来临了

      很明显这是封网络钓鱼攻击的邮件。邮件的发件人想让我点击假的IRS连接。如果我点击了，我的浏览器就会连接到他们已经攻击的Prospect Realty网站，接着我可能会看到类似国税局登陆页面的网页（这样骗子们就会盗取所有我输入的企业机密信息），或者该网页会企图下载一些能控制我电脑的讨厌的Java小程序（假设我最近没有对Java程序打过补丁的话）。

      这次网络钓鱼攻击太粗糙太明显了，所以很可笑。但从另一个角度看，却一点儿也不可笑。

网络钓鱼让攻击者有利可图

      只要让攻击者有利可图，这样的攻击就会继续。幕后的犯罪分子有非常简单有效的方法来判断他们的攻击是否有效。他们发送邮件，然后统计在接下来的几个小时里上当者的数量。如果没人点击，他们就会尝试其他不同的方法。如果上当的受害者足够多，他们就会再次攻击一批新的邮件地址。

      一连好几天我多次收到了同一封网络钓鱼邮件-这让我相信，这种攻击方式对不法分子来说是有效的。

并非所有的网络安全威胁都跟Stuxnet一样

      那么我的观点呢？在SCADA和ICS领域我们非常担心像Stuxnet这样的高级威胁攻击我们的电脑。然而似乎业余攻击对我们同样具有威胁（还记得Shamoon吗？）。骗子们不需要高超的黑客团队来实施成功的网络犯罪。他们只需要欠缺培训的员工点击那些十分明显的网络钓鱼邮件。

      要使IT和SCADA系统达到真正的安全还有很长的路要走，而且需要很大的资金投入。但是看起来好像还有很多基础工作没有做。或许我们现在该从别的角度来看待这些事了。

      你们公司是否培训过员工警惕钓鱼网站攻击？你有“网络钓鱼”故事要和我们分享吗？