本译文基于微软安全响应中心博客"How to disrupt attacks caused by social engineering"（2018年1月10日发布）。

十年前，大多数网络攻击通过恶意软件或复合手段直接针对企业基础设施发起。如今情况已截然不同，一封精心设计的窃取身份信息的邮件就足以构成威胁。

数字化转型已成为不可逆转的趋势。微软的安全战略聚焦于实现安全的数字化转型，通过帮助客户建立网络犯罪防护、检测和响应能力来实现这一目标。

社会工程学手法并非新鲜事物，早在宽带网络出现前就已存在。现代威胁组织如STRONTIUM沿用了传统骗术，只是将战场转移到了数字世界。相比寻找系统漏洞，他们更倾向于发送高仿真钓鱼邮件。

根据Verizon《2016年数据泄露调查报告》：

• 30%的钓鱼邮件会被打开
• 收件人平均仅需40秒就会打开邮件
• 45秒内就会点击恶意附件
• 89%的钓鱼邮件来自有组织犯罪集团

图1展示了Verizon调查报告的关键数据。现代钓鱼邮件的制作流程包括：

1. 通过社交网络搜集目标信息（组织架构、邮件模板等）
2. 使用专业工具从公开/泄露数据库提取数据
3. 制作仿冒邮件模板（如密码重置通知）
4. 发送给目标用户

攻击分为五个阶段：

1. 确定目标员工
2. 诱导打开恶意邮件
3. 工作站沦陷，收集凭证
4. 横向移动获取未授权访问
5. 窃取敏感数据

图4展示了微软安全产品在各阶段的防护能力：

• Enterprise Mobility + Security提供身份保护
• Windows 10具备设备级防护
• Office 365防范邮件威胁
• Azure确保云安全

企业需要转变安全思维，从"被动防御"转向"假设已被入侵"的主动防御模式。无论规模大小，所有企业都存储着对攻击者有价值的数据。

完整的安全方案需要包含：

• 完善的事件响应流程
• 防护/检测/响应技术栈
• IT人员和终端用户的充分准备

更多微软安全产品信息请访问：https://www.microsoft.com/secure