NIST网络钓鱼度量表用户指南（非常详细）从零基础到精通，收藏这篇就够了！-优快云博客

本文链接：https://blog.youkuaiyun.com/Python_0011/article/details/147767243

1. 钓鱼攻击：防线溃败的起点，还是人性弱点的放大镜？

网络钓鱼，这玩意儿，说白了就是网络黑产界的“碰瓷”，专挑人性的软肋下手。一封看似普通的邮件，实则暗藏杀机，诱你点击恶意链接，下载病毒附件，乖乖交出个人信息。别以为技术防护能万无一失，最终的防线，还得靠咱自己那颗警惕的心。

传统的安全意识培训，往往流于形式，模拟钓鱼邮件满天飞，然后呢？只看点击率和报告率？Too Naive！这就像考试只看及格率，却忽略了试卷的难度。有些钓鱼邮件，一眼假，小学生都能识别；有些邮件，伪装得天衣无缝，防不胜防。

NIST 这次搞了个大新闻，推出了网络钓鱼度量表，试图给邮件的“钓鱼难度”评个级。 听起来挺高大上，但真能解决问题吗？

NIST 这套玩意儿，本质上是对邮件进行“人工打分”，评估其迷惑性。但问题是，谁来打分？标准又是什么？这恐怕比防钓鱼本身更复杂。

这套“度量表”并非横空出世，而是经过多年研究的“学术成果”。然而，从实验室到真实世界，这中间的鸿沟，恐怕比马里亚纳海沟还深。本指南号称要弥合“研究到实践的差距”，但最终能否落地，恐怕还得打个大大的问号。

1.1 别被忽悠了！这指南真能帮你提升安全水平？

这指南的目标人群是谁？当然是那些搞安全意识培训的“老法师”们。据说，用了这套“度量表”，就能更精准地评估员工的网络钓鱼风险，从而量身定制培训内容，最终降低组织的安全风险。

但别忘了，安全这玩意儿，三分靠技术，七分靠管理，剩下九十分靠自觉。 指望一个“度量表”就能解决问题？恐怕想多了。

当然，这玩意儿也不是一无是处。至少，它提供了一个新的视角，提醒我们不能只看点击率，还要关注邮件本身的迷惑性。但如何将这套方法融入到现有的安全体系中，恐怕还需要一番摸索。

2. NIST 网络钓鱼度量表：纸上谈兵还是实战利器？

这套“度量表”的核心思想很简单：邮件的“钓鱼难度”，取决于两个关键因素：

邮件本身的“线索”： 也就是那些能暴露钓鱼邮件身份的蛛丝马迹。
邮件内容与目标受众的“契合度”： 也就是邮件内容是否与你的工作、生活息息相关。

简单来说，线索越多，越容易识别；契合度越高，越容易上当。

接下来，我们就来扒一扒这套“度量表”的具体内容，看看它到底靠不靠谱。

2.1 邮件中的“线索”：黑客的马脚，还是障眼法？

所谓“线索”，就是那些能让你意识到“这邮件有问题”的蛛丝马迹。但问题是，黑客也在不断进化，他们的“障眼法”也越来越高明。

所谓“线索”，其实就是黑客留下的“马脚”。但问题是，黑客也在不断学习，他们会尽量隐藏这些“马脚”，甚至故意制造一些“烟雾弹”来迷惑你。

NIST 将这些“线索”分成了五大类：

错误： 拼写错误、语法错误、排版错误……这些都是低级错误，但依然有效。
技术指标： 奇怪的链接、陌生的附件、伪造的发件人地址……这些需要一定的技术知识才能识别。
视觉呈现指标： 粗糙的 Logo、过时的设计、不专业的排版……这些往往能暴露钓鱼邮件的“山寨”本质。
语言和内容： 催促你立即行动、威胁你如果不配合就会有严重后果、使用通用问候语……这些都是黑客常用的伎俩。
常用策略： 冒充熟人、提供诱人的奖品、利用人道主义精神……这些都是利用人性的弱点。

表1. 钓鱼邮件的“死亡名单”：23 种常见线索大曝光

线索类型	线索名称
错误	拼写和语法不规则、不一致
技术指标	附件类型、发件人显示姓名和电子邮件地址、URL超链接、域名欺骗
视觉呈现指示器	没有/很少有品牌和徽标、徽标模仿或过时的品牌/徽标、外观不专业的设计或格式、安全指示灯和图标
语言与内容	法律语言/版权信息/免责声明、令人分心的细节、敏感信息请求、紧迫感、威胁性语言、通用问候语、缺少签名者详细信息
常用策略	人道主义呼吁、好得令人难以置信、你很特别、限时优惠、模仿工作或业务流程、冒充朋友、同事、主管、权威人物

2.1.1 练就火眼金睛：如何识别钓鱼邮件中的“线索”？

识别“线索”需要一定的经验和技巧。你需要像侦探一样，仔细分析邮件的每一个细节，不放过任何蛛丝马迹。

图1. 钓鱼邮件解剖图：黑客的破绽都藏在哪里？

（此处插入原文的图1）

邮件头： 重点关注发件人地址、回复地址，看看是否与显示名称一致，域名是否可疑。
主题： 警惕那些过于夸张、诱人或带有威胁性的主题。
附件： 陌生的附件、可疑的文件类型，一律不要轻易打开。
正文： 仔细阅读邮件内容，看看是否有拼写错误、语法错误、排版错误，以及是否使用了不专业的语言。

2.1.2 “线索”越多越安全？别高兴太早！

NIST 将邮件中的“线索”数量分成了三个等级：

很少： 1-8 个线索，难度较高。
一些： 9-14 个线索，难度适中。
许多： 15 个或更多线索，难度较低。

但这并不意味着“线索”越多就越安全。 有些黑客会故意留下一些明显的“线索”，以此来迷惑你，让你觉得这封邮件很安全，从而放松警惕。

表2. “线索”计数标准：别漏掉任何一个细节！

你需要仔细阅读这张表，了解每种“线索”的具体特征，才能准确地识别它们。

表3. “线索”类别划分：你的邮件属于哪个等级？

2.2 “主题一致”：黑客的精准打击，还是无差别攻击？

所谓“主题一致”，就是指邮件内容与你的工作、生活、兴趣爱好等方面的相关性。相关性越高，你就越容易相信这封邮件，从而放松警惕。

“主题一致”是黑客进行“精准打击”的关键。他们会根据你的个人信息、工作内容、社交关系等，量身定制钓鱼邮件，让你防不胜防。

评估“主题一致”需要考虑以下五个要素：

模仿工作场所流程或实践： 邮件内容是否与你日常工作流程相关？
与工作场所相关： 邮件内容是否与你的工作职责相关？
与其他情况或事件相一致： 邮件内容是否与当前的热点事件相关？
工程师担心不点击的后果： 如果不点击邮件，是否会造成不良后果？
已接受针对性培训、特定警告或其他暴露： 你是否接受过相关的安全培训？

2.2.1 “主题一致”五要素：黑客的“投其所好”

这五个要素，就像黑客手中的五张牌，他们会根据你的情况，巧妙地组合这些牌，让你一步步走进陷阱。

要素 1：模仿工作场所流程或实践

黑客会模仿你公司常用的邮件格式、语言风格，甚至会伪造公司内部的通知邮件，让你误以为这是正常的邮件。

要素 2：与工作场所相关

黑客会根据你的工作职责，发送与你工作内容相关的邮件，例如财务人员会收到“付款通知”，人事人员会收到“简历”，研发人员会收到“技术文档”。

要素 3：与其他情况或事件相一致

黑客会利用当前的热点事件，例如疫情、世界杯、双十一等，发送与这些事件相关的邮件，例如“疫情补贴”、“世界杯门票”、“双十一优惠券”。

要素 4：工程师担心不点击的后果

黑客会利用你的恐惧心理，让你担心如果不点击邮件，就会有不良后果，例如“账号被冻结”、“信用受损”、“错过重要信息”。

要素 5：已接受针对性培训、特定警告或其他暴露

黑客会利用你对安全知识的了解，反其道而行之，让你误以为这封邮件很安全。

2.2.2 如何给“主题一致”打分？

要评估“主题一致”，你需要给这五个要素分别打分，分值范围是 0-8 分。

表4. “主题一致”适用性度量表：你的“中招”风险有多高？

适用性度量表	适用性评分
极端适用性、一致性或相关性	8
显著的适用性、一致性或相关性	6
适度的适用性、一致性或相关性	4
适用性、一致性或相关性低	2
不适用、没有一致或没有相关性	0

表5. “主题一致”元素评分标准：别被黑客套路了！

（此处插入原文的表5）