首页 > 新闻资讯 > 安全聚焦
返回上一页
【风险预警】近期钓鱼邮件攻击呈现高发态势,企业需加强防范做好应对
2023.05.15
  近年来,随着网络安全相关政策法规不断完善,国家对网络安全工作要求日趋严格,在推动各领域网络安全建设走向深入的同时,也促进国资国企网络安全防护水平明显提升。当攻击者面对更加牢固的网络边界防护时,钓鱼邮件往往成为其突破边界防护最简单、最有效的一种手段。近段时间,中资网安持续监测到多起大规模钓鱼邮件攻击事件,钓鱼邮件攻击呈现高发态势,国资国企网络安全面临挑战,需引起高度重视,并开展针对性防范。

一、整体攻击态势

  2023年1月以来,国资国企网络信息安全在线监管平台(简称:安全监管平台)监测到钓鱼邮件攻击超过110万次,告警数量和事件数量急剧上升,整体形势严峻。

图 1 钓鱼邮件攻击告警态势

  各行业遭受钓鱼邮件攻击情况如下,其中科研设计行业、交通运输行业、制造行业遭受攻击的次数排名前三。

图 2 各行业钓鱼邮件攻击次数占比

  钓鱼邮件攻击导致的企业邮箱失陷趋势如下。

图 3 钓鱼邮件攻击失陷邮箱数趋势

二、典型攻击模式

  近期的钓鱼邮件攻击可归纳为以下两种模式。

(一)模式1:控制邮箱直接窃取工作邮件

  2023年2月,某企业遭到网络攻击造成主机失陷。中资网安应急专家排查发现3台主机感染恶意程序,经对攻击链还原发现,攻击者将钓鱼邮件伪装成内部通知,诱使受害者点击含有恶意程序的附件,并建立持久化手段,进而与控制端进行通信,下载具有窃密功能的二阶恶意程序,造成企业工作邮件失窃。

图 4 伪装成内部通知的钓鱼邮件

(二)模式2:利用企业通信录和弱口令批量控制邮箱,窃取工作邮件

  2023年3月,某企业遭到钓鱼邮件攻击,造成大量企业邮箱失陷,通过排查发现:

  1.攻击者利用钓鱼邮件获取了该企业某些用户的邮箱口令,登录后通过企业邮箱导出该企业当前使用的邮件通讯录。

  2.攻击者通过已知口令猜解发现该企业的邮箱口令命名规则。

  3.攻击者根据通信录,依据现有的口令规则,通过简单的暴力破解,控制大量企业邮箱。

  4.攻击者利用失陷的邮箱向企业内部、其他企业、高校等发送大量钓鱼邮件,造成受害范围进一步扩大,给企业造成不良影响。

三、攻击手段分析

  钓鱼邮件常伪装成业务相关信息或大家感兴趣的热点话题,引诱受害者点击钓鱼链接或下载携带恶意程序的附件,从而控制受害者的邮箱账户及主机资产,进一步窃取企业敏感信息。常见的钓鱼邮件攻击手段主要包括以下四种。

(一)在邮件正文中加入恶意链接

  攻击者在邮件中插入恶意链接,诱使受害者点击。恶意链接可能是恶意程序下载入口,可在受害者主机上植入后门;也可能是伪造的网页,以骗取受害者的账号和口令。

图 5 邮件正文中包含恶意程序的链接

图 6 邮件正文中包含恶意网页的链接

图 7 仿冒企业邮箱页面

(二)在邮件附件中隐藏恶意程序

  攻击者将恶意程序隐藏在邮件附件中,诱使受害者打开附件并运行恶意程序,通过恶意程序控制受害者主机,最终导致数据泄露或其他后果。

图 8 附件中包含恶意程序

(三)利用操作系统或应用软件漏洞进行攻击

  攻击者通过发送钓鱼邮件,诱使受害者打开带有攻击载荷的Office文档、PDF文件等,从而利用Office办公软件、PDF阅读器等应用程序漏洞入侵受害者的计算机,实现远程控制,最终导致企业敏感数据泄露。

图 9 将附件伪装成正常文档的钓鱼邮件

图 10 被植入攻击载荷的Office文档

(四)利用邮件协议缺陷伪造发件人

  由于最初的SMTP协议缺乏发件人身份验证机制,攻击者可以利用协议缺陷伪造邮件发件人,让收件人误以为该电子邮件的来源合法,诱使受害者点击邮件,造成企业内部敏感资料外泄。

图 11 利用邮件协议自身漏洞伪造发件人

四、误点钓鱼邮件应急方法

(一)及时报告

  及时报给邮箱管理员,请专业安全人员进一步处理和开展后续系统清理以及恢复工作。

(二)修改登录口令

  在其他机器上及时修改登录口令,防止攻击者获取邮箱中的邮件、联系人等敏感信息。

(三)全盘杀毒

  钓鱼邮件中的链接或者附件等可能带有病毒、木马或勒索程序等,发现异常应及时做全盘扫描杀毒,最好使用多个杀毒软件交叉杀毒。

(四)隔离网络

  切断受感染设备的网络连接(拔掉网线或者禁用网络),避免网络中其他设备被感染渗透,使事件范围得到控制,防止进一步的敏感文件窃取,降低安全事件带来的损失。

五、邮件钓鱼防范措施

(一)核实未预约的邮件

  在点击未预约邮件中包含的链接和附件之前,先与发件人取得联系以确认其真实性。

(二)检查发件人地址

  确保发件人地址与组织或个人的实际邮箱地址一致,对于个人邮箱或拼写异常的地址,请保持警惕。

(三)审查邮件标题

  钓鱼邮件标题可能涉及“系统管理员”“通知”“订单”“采购单”“发票”“会议日程”“参会名单”“历届会议回顾”等关键词。若收到含有类似关键词的邮件,请提高警惕。

(四)评估正文措辞

  对于邮件中使用泛化问候语如“亲爱的用户”“亲爱的同事”,或故意制造紧急氛围的表述如“请务必回复”的邮件,应保持警惕。

(五)分析正文目的

  切勿通过邮箱向任何人提供登录口令。若收到索要登录凭据的邮件,先电话核实,确认后通过加密渠道进行发送。

(六)检查正文内容

  在点击邮件中的链接时要谨慎,特别注意正文中出现的短链接或链接按钮,查看是否存在文字与链接不一致的情况,如某些垃圾邮件正文中的“退订”功能,其链接可能是恶意程序下载地址。

  注:部分图片来自网络
上一条 下一条