钓鱼邮件攻击方为了提高钓鱼成功率，往往会对钓鱼邮件进行“包装”，让钓鱼邮件看起来无比接近正常邮件。

如图所示：

以上样本内容均是伪造通过领英发送的业务邮件，大意是对收信人的产品表示很感兴趣，想要询价/获取试用订单一类的内容。

需要注意的是，尽管邮件内容出现了多处领英相关的商标、相关信息，但该类邮件实际上是针对收信人精心准备的“陷阱”。当点击邮件中的链接后便会跳转到以下钓鱼界面：

该界面将领英的某用户界面当作背景，并做了模糊处理，在左上角提示“Email Login timed out， please login again”，意图收割用户的账号密码信息。

天空卫士启发式规则库针对该类伪造身份类邮件，结合邮件的链接、文本特征、发件地址、路由信息等多方面进行检查，已编写较为完善的检测规则，能对该种特征进行识别检测并拦截。

启发式规则库早对该类邮件有相关的拦截策略，在排查为何出现漏拦的过程中，我们发现肉眼看到的内容并不完整。显示文本的Unicode后我们找到了问题所在。

首先是正常的输入“财务部”三个字，显示unicode为：\u8D22\u52A1\u90E8

但当拷贝邮件中的发件人时，显示unicode为：\u8D22\u034F\u52A1\u034F \u90E8\u034F

\u034F是组合用字形连接符，属于unicode中的结合附加符号，与零宽字符一样肉眼不可见，但却实际存在。加入该类字符之后一些文本特征的检测就存在被绕过的可能。

目前启发式规则库已针对该类绕过手段编写了相应规则。

注意：该种绕过方式不仅可以用于关键字绕过，也能用于其他领域，例如短网址生成。如下图所示：

将网易云的链接转变为“https://zws.im//”，实际上这个短网址后面跟着一串零宽字符，当浏览器访问时，后端程序反解密后面的零宽字符就能跳转对应的网站。

防护建议

提示

警惕任何需要输入账号密码的场景，尤其是跳转的链接；