编者按：当前网络诈骗花样层出不穷，就像是不断更新迭代的“病毒”，虽然“疫苗”研制出来了，但似乎总会出现新型的“病毒”。此次Google有效攻克网络钓鱼，终究让人松了一口气。Wired在题为“Inside Google’s Global Campaign to Shut Down Phishing”中细致分析了Google是如何一步步打赢这场反钓鱼诈骗的硬仗的。

5月初，网络上涌现出许多网络诈骗，它们伪装成Google文档请求，有的电子邮件甚至伪装成熟人身份。只要受害者点击并授予看似无害的权限，他们的整个Gmail帐户信息就会暴露无疑。

Google的反技术滥用总监Mark Risher说：“我们组建了战争反应室，将人们聚集在现实的房间里。当然，我们公司其他分部的各领域专家也会很快聚集起来”。

Google成为攻击的靶心，安全防御亟待提高

不幸的是，这种危机对Google来说早已是家常便饭。Google坐拥巨大的用户群，在网页上留下了的足迹众多，因此且不说其他方式的黑客攻击，Google的服务和客户都已成为钓鱼攻击的靶心。但话又说回来，钓鱼也是个棘手难题，演进速度极快，很难通过设计进行侦察。

Gmail反滥用团队的项目经理Sri Somanchi表示：“恶势力处心积虑搞破坏，我们更应艰苦抗战、奋勇向前，因为我们一丁点的疏忽都会给用户带来莫大的损失”。

加大技术防御，捍卫名声与光荣

当Google Docs受到网络钓鱼的攻击时，0.1％的Gmail用户，即约100万个帐户都会受到影响。Google反技术滥用团队采取应对措施，首先进行信息分享，然后在全球各地的Google办公室进行传送，确保24小时覆盖。

“目前一个团队专门负责Gmail入站，努力确保电子邮件信息不会泄露，”Risher说。“还有一个团队负责处理帐户滥用模式，查看谁正在使用已被访问的凭据。第三个团队则监测信息的传播。”

在几个小时内，Google遏制了网络钓鱼攻击的进一步传播。一天之内，Google将反钓鱼安全警告扩展到Android的Gmail上。

在这次战争中，Google使用了其最近几年来新推出的反钓鱼和威胁警告工具，如Chrome扩展密码警报。如果它认为用户刚刚将Google用户名和密码输入冒牌登录页面，则会发出警告。Google还宣布要针对企业用户提供新的网络钓鱼保护措施，包括在企业用户尝试向公司外部发送数据时发出警告，以及提供其他防止勒索软件的保护措施。

Google致力于尽可能地降低用户做出安全选择和防止上当的难度，但公司的重点是采用技术解决方案，即无缝实现最少的用户购买。一些网络钓鱼专家认为，强化用户培训是阻止网络钓鱼的关键所在，但是用户培训公司PhishMe的首席技术官Aaron Higbee表示：“我们要充分利用技术手段，至少Google必须这样做。”专注于技术解决方案可以发挥Google的优势。

如果用户在Chrome，Android，Search和Gmail上访问或下载恶意网页，Google的安全浏览基础设施则会显示警告消息。Google还为第三方开发人员提供了安全浏览功能，例如Firefox和Safari浏览器。Google在其广告服务中使用安全浏览来捕捉试图宣传恶意内容的广告。总之，Google表示，安全浏览每天都造福了20亿个设备。

安全浏览警告给长期忧心电子威胁的互联网用户吃了一粒定心丸。但对Google来说，这是推进了十多年的长期投资项目。Google为其旗舰搜索引擎搜索互联网时，它会使用该数据来标记携带社会工程攻击、恶意软件、网络钓鱼广告系列等的恶意网页。

“很多用户接触安全浏览主要是通过一张大大的红色警告页面。”安全浏览团队领导的Allison Miller说道。但警告页面背后看不到的是多少辛勤的付出，以及多少艰巨的挑战。

“我们必须守卫每扇门，每个窗，每个开放口。而坏人只需突破其中一个”，Risher说，“在大事不妙的时候，要努力防止事态进一步恶化，这可能很艰难，但名声和荣耀大多都来源于此。

防御最前线，采用多层次保护的深度防御战略

数以百计的Google员工在各个层面上开展安全防范和反滥用工作。他们的做法取决于多层次保护的深度防御战略。

钓鱼者和用户Gmail帐户之间的第一层防御是一种自动化的批量过滤过程，它利用安全浏览和其他黑名单工具来阻止大量的垃圾。在阻止Gmail发送到用户之前，Google会拦截发送到Gmail电子邮件量的90％，这还不包括垃圾箱中的内容。

Somanchi说：“这很多都是通过维护世界各地发信人的声誉来实现的，在不断收到的电子邮件中计算出数千个电子邮件属性的声誉，然后我们使用这些声誉来预先确定发件人是否合法。”Google还会扫描错误的链接，这意味着如果用户不小心向Gmail朋友发送了已知的网络钓鱼链接，这封电子邮件将不会被传送。

Google会将第一个剪辑的信息作为更重要的过滤选项，Gmail则会在此期间查找模拟和伪造的信息，因为这决定了是否将某一邮件移入垃圾箱或是收件箱。 在不确定的情况下，Gmail会让该邮件通过，但会添加警告，表示这可能是从某个受损帐户发送过来的。

同样，如果Gmail没有足够的信息来对电子邮件做出最终决定，那么可能会提供保护措施，例如添加警告并禁用电子邮件的链接或附件。Gmail依靠的不是一两个修复措施，而是提供图层。

“若坏人获知了用户的密码，他们也仍然无法使用，即使能使用，那也是我们持续的基于风险认证的一部分”，Risher说。

灰色地带，不要走极端

Google员工说，网络钓鱼防范和反滥用的最大挑战一般在于处理潜在的恶意内容。“你必须调整应对措施，确保不会阻止所有灰色地带的人”，Risher说，“了解当前不利情况很重要，但也要适应良好的活动，即正常合法的活动，而不是走到另一个极端，这最终会损害广泛的[Google]生态系统。”

Somanchi表示，垃圾邮件和网络钓鱼识别中有95％来自机器学习。而且在过去几年中，这些Gmail机制已经发展成为将传统的监督学习（其中使用大数据集训练的算法）与更新的无监督学习技术相结合，其中算法会从恶意程序中判断哪些为合法输入。“虽然普通电脑会作出非黑即白的武断决策，但是深入的学习大大提高了主观性，并且更接近真实性”Risher说。

Google还强调，利用机器学习也有助于保护用户隐私。Miller说：“这些系统是对聚合数据进行操作的，而且这些工作完全中没有人能了解对潜在的私人信息。我们将集中注意力，识别攻击者及其方法，安全浏览和反网络钓鱼防御系统会识别出攻击模式的共同点。

 编译组出品。编辑：郝鹏程