APT攻击一般都有很强的目标性和目的性,其中邮件定向攻击是一个重要场景。邮件地址是一个身份的识别,而且易于被别人获得。邮件中的内容穿透性强,可直接到达邮件者的机器上,所以目前的大部分APT攻击中都用到了邮件定向攻击。(当然也有其他场景,例如4月份的一次通过社交网络的定向攻击,利用Twitter @某人发送恶意URL链接)
我们看一下邮件定向攻击的场景。假如你有花旗银行的账号,而且你又收到了花旗银行的账单,而且是一封带有DOC附件的邮件,在这种场景下,你会不会去打开?更常见的场景是,你收到一封员工的批复邮件,让你批复出差费用,里面包含一个EXCEL表格,那你会不会去打开?坦白而言,我没有花旗银行的账号,所以第一封邮件我不会打开,但是第二个邮件肯定会打开,因为这个对我来说识别非常难。
邮件定向攻击有一些特点,首先,它的迷惑性非常强,可以扮成可信的发信人,内容也非常靠谱。而且附件不是EXE文件,而是一个文档,所以一般人都会打开。其次,攻击里面一般都会有零日漏洞,用户打开邮件之后一定会中招。
