网络安全科普知识
来源: 发布时间:2016-12-29
本期主题:如何防范恶意邮件?
邮件是人们日常工作中进行交流、获取工作信息或文件的重要通道,这个通道很早就被不良企图者盯上,用于实施一些恶意行为。邮件是社工或APT的重要入口或着手点,这也已经成为网络安全行业的共识。那么,我们日常可能会接触到哪些恶意邮件,如何防范呢?
从发件人角度来看,恶意邮件一般有两种,伪造身份邮件和陌生人邮件。
伪造身份邮件一般是将发件人名称、邮箱地址、正文和签名这些方面伪造成你熟悉的角色,比如领导、IT管理员、某银行等,不明真相的群众一看这些发件人就蒙圈,生怕出什么事,立即按照邮件指示进行操作,然后回头冷静时一想才发现中招了。由于邮件服务器传送邮件的原理限制,你的邮件服务器接收到其他邮件服务器传过来的邮件时,如果不做特殊配置,就无法验证邮件中写的发件人邮箱是真是假,伪造者可以随意编写发件人邮箱地址。发件人名称更是可以随意编造了。
另一类陌生人邮件可能就有难度,因为大家看到陌生人的邮件本来就警惕性很高,会认真谨慎操作,这类邮件就必须编造非常有吸引力,用让人眼睛一亮的内容来诱使你按指示操作,比如我捡到你手机了,这是你的发票,这儿有你的照片等等。
从恶意行为的角度来看,恶意邮件可以分为如下四种:
骗回复敏感信息
这种邮件就是在发件人名称、语气、正文和签名处伪造身份,冒充公司领导、IT部门或一些政府、银行等机构,直接索要通讯录、密码、转账等,从性质上来说跟钓鱼有点类似,但由于索要信息更直接,缺少伪造页面,就更容易被识别。
骗打开钓鱼页面链接
钓鱼邮件有如下特点:一是诱惑性强,要使受害者收到邮件后动动鼠标打开钓鱼页面,邮件内容必须有很强的诱惑性,迫使你对这个页面里的内容非常感兴趣,或者必须打开否则会有损失。二是仿冒页面逼真,钓鱼首先要有鱼饵,鱼饵后面藏着鱼钩。鱼饵一定要香,要诱人。钓鱼页面就要做得像真正网站页面一样,才会有人相信。钓鱼者肯定是先研究了真正网站的登录页面,然后做出一个一模一样的页面,诱使他人输入用户名和密码,登陆后就传入钓鱼者的数据库。但是,页面的域名是很难作假的,除非你的DNS也被劫持了,但一般邮件钓鱼不会利用DNS劫持的方法,这样效率和难度会大大提高,失去了群发钓鱼邮件的意义。所以看清楚登录页面的域名是关键。三是涉及敏感信息,就如同电信诈骗最终都会提到钱一样,钓鱼邮件及其衍生的网页肯定也会涉及到敏感信息,如账户密码等。
骗点挂马页面链接
一个网友丢了一台iPhone,直到某一天收了一封QQ邮件,几分钟后他的APPLE ID被修改了。这封邮件不是钓鱼邮件,也没有输入任何账户密码,唯一的操作就是就打开了一个图片附件,为什么Apple ID密码就丢了呢?实际的过程是这样:
1、点击邮件附件图片链接跳转到某境外伪造网站,内嵌恶意JS脚本。
2、此脚本搜索浏览器cookie,获取了QQ号和密码。
3、黑客利用密码登陆QQ邮箱(即APPLE ID的密保邮箱),重置了APPLE ID的密码。
这个案例的看点其实在于伪造的附件框。这个QQ邮箱的附件框其实是发件人截取的真实附件框的一个图片,然后将这个图片加了个超链接,指向挂马网站。
骗打开带毒附件
邮件附件带病毒,以往都是直接挂一些伪装成图片的exe后缀的恶意可执行文件或者带宏病毒的office文档,近年来邮件客户端都对直接挂的这类文件做了限制,office也默认不执行宏命令,附件病毒得到了一些遏制。不过近年来又有新的招数,如伪装TXT后缀的JS文件。JS文件也是一类双击后可自己执行任意命令的文件。虽说比以前的exe、office文件看起来更高端,但其实是换汤不换药。
那么,我们在日常工作中如何防范恶意邮件呢?当你收到一封邮件,先不管是正常邮件还是恶意邮件,如果:
要你敏感信息
如果是领导、IT管理员、银行等突然给你发邮件问你要敏感信息,以前从来没遇到过,那么你的动作是:
不管或者用电话短信问一下发件人。
要你点击链接
这一类包括点击链接后出现钓鱼页面或者访问了挂马页面。
如果你知道这封邮件的前因后果,你正在等这封邮件,比如你刚问某同事要个淘宝链接,那么这个链接放在这非常合情合理,那就点吧。
如果你觉得这封邮件来的挺突然,比如邮箱要升级了,比如我捡到你手机了,不管邮件里自己说的多合理多诱人,那你的动作是:
不点击或者用电话短信问一下发件人(如果有可能的话)。
要你点击图片
邮件正文中的图片如果有链接的情况(鼠标变小手),那么陌生人发的不要点,熟人发的一般不会在正文图片中加链接(挺麻烦的),加了就有嫌疑,所以也不要点。总之你的动作是:
一概不要点击。
要你打开附件
如果你知道这封邮件的前因后果,你正在等这封邮件,比如你刚问某同事要个文件,那么这个附件放在这非常合情合理,那就打开吧。
如果你觉得这封邮件来的挺突然,比如这是不是你的发票,这是不是你的手机,不管邮件里自己说的多合理多诱人,你的动作是:
不打开或者用电话短信问一下发件人(如果有可能的话)。
相关新闻:
2016中国企业邮箱安全性研究报告发布
日前,由Coremail论客和360企业安全携手打造的《2016中国企业邮箱安全性研究报告》近日出炉。报告显示,企业邮箱是黑客对企业发动网络攻击的首先途径,将危及企业商务合作和财产安全。
在企业办公应用中,电子邮件仍然发挥着不可替代的作用。根据艾瑞相关报告分析及预测:到2016年底,中国企业邮箱用户规模将达到1.12亿,并且仍将持续高速增长,2017年底有望达到1.35亿。
上述报告指出,服务器端口对外开放,发送邮件不受限制,安全管理水平低下,易于发动精准攻击等因素,是企业邮箱容易遭到黑客攻击的主要原因。垃圾邮件、邮箱盗号、钓鱼邮件和带毒邮件是企业邮箱遭到网络攻击最主要的四种形式。
2016年全球电子邮件十大安全事件
今年各种网络诈骗手段层出不穷,电子邮件更是重灾区,无论对个人还是企业都造成了重大损失。邮件安全问题,刻不容缓。下面,让我们来看看2016年,全球都发生了哪些电子邮件安全大事件。以下事件,按照发生时间排序。
一、 FACC CEO遭邮件诈骗5000万欧元
2015年12月到2016年1月,被中航工业集团收购的奥地利飞机零部件制造商(FACC)陆续向多个海外账户汇出5000万欧元。这次诈骗是个典型的身份造假诈骗,也被称为“商务电子邮件攻击”。攻击者冒充其他员工或合作伙伴,给首席执行官发送电子邮件,要求紧急汇款。2016年5月,FACC公司CEO沃尔特史蒂芬(Walter Stephan)因此被解雇。
尽管FACC公司已设法追回了被盗的1090万欧元,但其余的资金仍然不翼而飞,或分布于斯洛伐克和亚洲各地的银行中。
二、 时代华纳30多万客户邮箱泄漏
据国外媒体2016年1月8日报道,美国最大的有线电视公司时代华纳表示,旗下约有32万用户的邮件和密码信息已被黑客窃取。据悉,这些邮件和密码信息很有可能是通过网络钓鱼的方式获得,同时也可能是保存了时代华纳用户数据的第三方合作商信息泄露所致。FBI已经介入调查,尽管还没有确定信息泄露的最终原因,但时代华纳并不认为有迹象显示其内部系统出现了漏洞。
三、 敲诈者木马通过邮件大规模攻击
2016年2月中旬,一种名为“Locky”新型病毒开始伪装成电子邮件附件的形式,在全世界各地迅速传播,并很快成为最流行敲诈者病毒之一。一旦电脑用户点击携带病毒的附件,则计算机上的办公文档、照片、视频等文件就会被恶意加密。用户要想重新解开数据的密码,就必须向这款病毒的发布者缴纳一定数量的赎金。
根据360互联网安全中心的监测,以“Locky”为代表的敲诈者木马在2016年大规模爆发,并先后于4-5月及9-10月形成两次集中高发期。全年攻击电脑用户多达497万次。而根据2016年上半年的监测情况来看,恶意电子邮件约占敲诈者木马传播总量的14%。
四、 通灵邮件诈骗百万美国人1.8亿美元
2016年5月9日,美国纽约联邦检察官表示,目前已与一宗算命诈骗案的多个被告达成和解,这些被告涉嫌从超过100万美国人身上骗取逾1.8亿美元(约11.7亿元人民币)。
检察官卡珀斯表示,被告包括来自法国的“灵媒”杜瓦尔(Maria Duval)与格林(Patrick Guerin)、加拿大直销公司Infogest及香港公司Destiny Research Center Ltd.,他们被指通过邮件向美国老人及其他弱势消费者推销虚假声明。这些诈骗者声称,通灵者有特别视力,知道如何发财,包括如何中彩票。借此要求收件人购买有关产品和服务。这些大量内容相同的信件目标是“绝望及年老体弱者”。
五、 俄罗斯2亿电子邮件账号被售卖
2016年5月,在俄罗斯黑市上,大约有超过 2.72 亿个被盗的电子邮箱和其它网站登录凭证被售卖,其中大部分是俄罗斯本地的电子邮箱服务Mail.ru 的用户名和密码,此外还包括了少部分 Google、雅虎以及微软的电子邮箱登录凭证。据了解,许多账号被盗用户都是美国最大银行、制造商以及零售商的员工。
令人意外的是,这样一个庞大的被盗邮箱数据正在以 50 卢布(不到 1 美元)的超低价格对外销售。这一大规模的被泄露数据可以用于进一步非法获取用户信息,或是进行钓鱼攻击,导致用户的财务信息或名誉受损风险增长。
六、 带毒邮件盗取日大型旅社800万用户资料
2016年6月,日本大型旅行社JTB宣布,因员工打开钓鱼邮件导致网路遭到非法入侵,有近800万客户资料外泄,包括姓名、地址及护照号码等。办案人员称,该钓鱼邮件伪装成全日空(ANA)发来的电子邮件。邮件地址包含「ana」,内容为提醒确认机票预定。员工打开该邮件后,导致电脑及服务器中毒,大量资料被泄露。警方以违反《禁止非法入侵电脑法》进行调查,从邮件IP位置得知,该邮件发送源头在海外,最后发送地则是香港。
七、 尼日利亚电邮诈骗6000万美元
2016年8月、尼日利亚抓获一名涉嫌在全球范围内利用数千封电子邮件实施诈骗的跨国犯罪团伙头目。这名嫌犯为40岁的尼日利亚籍男子,人称“迈克”。据信该嫌烦已使全球数百网民蒙受6000万美元(约合3.98亿元人民币)损失。其中一人被骗金额高达1540万美元(约合1.02亿元人民币)。
嫌犯的作案手法包括:篡改供应商的电子邮件,给采购商发去虚假信息,要求其向该团伙控制的银行账户打钱;控制企业高管的电子邮箱,利用该邮箱要求负责财务的雇员电汇款项等。
八、 德国莱尼集团遭邮件诈骗4000万欧元
2016年8月12日,作为欧洲最大的电线电缆制造商,全球第四大供应商的德国莱尼集团在北罗马尼亚的分公司收到了骗子模仿官方支付需求发出的诈骗邮件。莱尼在北罗马尼亚分公司的财务官认为,这封邮件是莱尼德国总部的顶级高管发来的,而且该公司的信息系统也是欧洲最安全的系统之一,于是4000万欧元就这样被汇到了骗子的账户上。这一消息致使该家公司股票下跌5至7个百分点。
九、 雅虎逾5亿用户资料两年前被窃
2016年9月22日,即将谢幕的美国互联网公司雅虎证实,至少5亿用户的账户信息在2014年遭黑客盗取,这创造了史上最大单一网站信息遭窃的纪录,也让正在出售核心业务的雅虎再受重创。
雅虎在一份声明中表示,受影响用户的姓名、邮箱地址、电话号码、出生日期、密码以及部分取回密码时的安全问题,都遭到了泄露。雅虎相信,盗取信息的黑客是“受到国家支持的”,但没有具体点名哪个国家。
十、 希拉里邮件门影响美国大选
2016年11月,希拉里因“邮件门”最终落败美国总统竞选。希拉里在担任国务卿期间,从未使用域名为“@state.gov”的政府电子邮箱,而是使用域名为“@clintonemail.com”的私人电子邮箱和位于家中的私人服务器收发公务邮件,涉嫌违反美国《联邦档案法》关于保存官方通信记录的规定。希拉里被美国联邦调查局(FBI)调查,民众支持率节节下降。
希拉里承认在任职美国国务卿期间使用私人邮箱处理约6万封邮件,称其中3万封因涉及私人生活已被其团队删除,剩余约3万封与工作相关邮件已全部上交美国国务院。
“邮件门”让希拉里呈现出非常负面的形象:蔑视规则、凌驾于法律之上、受到舞弊体系的保护。