電子郵箱被盜號的方式方法有很多,有一些方式還會比較巧妙和複雜。不過,從大的方面來看,最主要的原因有以下四種:一是因為使用弱密碼而被暴力破解;二是收到帶毒郵件後感染木馬;三是收到釣魚郵件被釣魚盜號;四是郵箱伺服器遭遇拖庫或撞庫攻擊。
從安全性的角度來看,企業郵箱必須具備弱密碼檢測及弱密碼被強制改密功能。但我們的監測發現,即便是在哪些採購了由專業郵箱服務商提供的企業郵箱系統的企業中,也有相當數量的企業沒有開啟系統自帶的弱密碼檢測及弱密碼強制改密功能。而在那些完全使用開源系統自建郵箱服務的企業中,這種危險情況更加普遍。
為了能夠確切的掌握企業郵箱使用弱密碼的情況,我們在得到了相關企業授權的情況下,對部分企業的用戶郵箱進行了弱密碼抽樣檢測,結果發現:使用長度不足或密碼結構過於簡單的弱密碼的企業郵箱帳號,佔到了所有被測試的企業郵箱帳號的16.0%。而更為可怕的是,約佔所有被測試的企業郵箱帳號總量9.8%的郵箱帳戶,使用的是企業郵件系統最常見的10個流行密碼。也就是說,如果攻擊者已經通過釣魚、木馬等盜號手段獲取了大量企業用戶的郵箱帳號和密碼,並據此準確的推算出了10個最流行的企業郵箱密碼,那麼,在約1.12億總規模的企業郵箱用戶中,就可能有約1097.6萬個企業郵箱帳號屬於暴力破解的高危帳號——攻擊者最多僅需嘗試10次,就有可能攻破這些郵箱。
事實上,針對用戶使用弱密碼的情況,攻擊者們每天都在對大量用戶進行著不斷的暴力嘗試。抽樣統計顯示,每個星期至少有8.2%的企業郵箱帳號會遭遇暴力破解猜測,這些郵箱帳號在一周內至少被使用不同密碼嘗試登錄50次以上,平均每個帳戶每天被使用不同密碼嘗試登陸85次以上,甚至有個別完全不設任何防暴力破解措施防護的企業郵箱每天會遭到3000次以上的暴力破解猜測。
下圖給出了企業郵箱帳號遭遇暴力破解的比例情況。
下圖給出了企業郵箱在遭遇暴力破解的情況下,每個郵箱平均每天被破解的次數。需要說明的是,郵箱每天被破解的次數,除了與郵箱密碼的本身強度相關外,也與企業郵箱具體的防暴力破解安全策略有關。所以,郵箱被破解的次數不能完全說明郵箱密碼的強度,它僅體現黑客相關攻擊活動的活躍程度。
一次大規模郵箱盜號攻擊事件為例,說明郵箱盜號事件的手法及危害。
2016年下半年,Coremail論客服務系統接到某大型企業客戶舉報,其郵箱服務系統中的300餘個郵箱帳號在某日夜間出現異常IP登陸,並幾乎同時對外發送垃圾郵件的情況。。郵件內容均為某境外賭博網站的推廣信息。郵件內容示例如下。
經查,涉案賭博網站域名共有三個,相關賭博網站的頁面截圖如下:
應該大型企業客戶的協查要求,Coremail論客與360追日團隊成立了聯合調查小組,對該事件的起因、背景及相關影響展開調查。
調查顯示,這300餘個被盜號並被用來集中發送垃圾郵件的電子郵箱,其盜號過程並不在此次事件案發前後發生的,事件的起因實際上一直可以追溯到2015年上半年。當時,該公司的很多用戶都接到一封冒充OA系統管理員的釣魚欺詐郵件,有相當數量的該企業員工被騙,並在釣魚網站上填寫了真實的郵箱帳號和密碼,從而帳號被盜。自2015年上半年至今,除極少數郵箱曾經被攻擊者偶爾使用過之外,一直沒有發生其他類似的大規模垃圾郵件外發事件。
而引起調查小組關注的是,在2015年上半年發生的那次釣魚郵件攻擊事件中,相關郵件實際上又是由攻擊者使用其他企業的郵箱帳號發送出來的。通過進一步對釣魚盜號郵件及相關博彩信息郵件進行不斷的追蹤、溯源分析後發現:攻擊者最早期的活動跡象出現在2014年8月,此後,攻擊者通過釣魚盜號,再釣魚再盜號的循環攻擊,至少先後盜取和使用了29家企業的數千個企業郵箱,而且還另外使用了一個攻擊者自己獨立註冊的郵箱系統。而最早被攻陷的企業,是一家北京的通信服務公司,該公司郵箱是所有後續OA釣魚攻擊的總起點。不僅如此,該公司的官網也被攻擊者篡改掛馬,植入了大量賭博、博彩類的釣魚信息。
下圖給出了此次「OA釣魚+賭博推廣」攻擊事件中,攻擊者同時控制的所有企業郵箱所屬企業的行業分布情況。可以看出,被這個攻擊者控制的企業郵箱,有9家屬於製造業企業,7家屬於網際網路公司,另有通信企業3家,事業單位和金融證券類企業各2家。
從這起案例中可以看出,垃圾郵件攻擊者的攻擊有以下特點:
1) 從釣魚盜號攻擊到發送垃圾郵件攻擊之間,攻擊者的潛伏和準備周期特別長。攻擊者這樣做的主要目的是為了增加事後追查難度,更好的隱藏自己。如果沒有完整的歷史數據存留,我們就很難復原整個攻擊過程。
2) 攻擊者會不斷的以新盜取的企業郵箱為跳板,對更多的企業郵箱發起攻擊。
3) 一個垃圾郵件攻擊者的手中,往往會同時掌握成千上萬個企業郵箱帳號資源。
這起案例也再次告訴我們在企業安全領域的一個基本事實:即便沒有顯著的或重大的安全事件發生時,也不等於企業的系統就是安全可靠,攻擊者可能早已完成了入侵和控制。而一旦破壞性攻擊事件真的發生了,再進行防護可能早就為時已晚。
所以Coremail論客與360為了防止更多受害者遇到盜號事件發生,聯合研究事件的始末,發現只要企業郵箱系統採用某些基本防護措施和管理方法,還是非常有效的避免盜號事件發生,以下是3大方面解說:
一、技術方面
1) 雙因子認證
雙因子認證仍然是目前比較容易部署,並且比較安全可靠的一種安全登錄認證方法。在郵件系統中,其主要工作方式是在郵箱的帳號和密碼之外,生成動態口令,並通過郵件登錄系統以外的方式傳送給登錄者。雙因子認證的方法,可以在很大程度上避免郵箱的帳號密碼被盜後,攻擊者直接入侵郵件系統或企業內網。但如果攻擊者進一步使用釣魚網站或木馬程序竊取動態口令,則仍有可能突破雙因子認證的防線。
除了動態口令之外,目前還有一些基於數字認證技術或生物識別技術等其他形式的雙因子認證技術也正在逐漸的普及開來。
特別需要說明的一點是,對於動態口令,傳統的技術實現方案大多需要使用一個單獨的硬體電子令牌。雖然電子令牌的體積一般很小,但攜帶和使用仍然有一定的不便。而目前,已經有一些新型的技術方案可以將電子令牌製作成一個手機上的APP,這樣使用起來就相對比較方便。下圖是360研發的一套可運行於普通智慧型手機上的動態口令APP界面截圖。
2) 弱密碼檢測
如前所述,弱密碼是企業郵箱被盜號的最主要原因。所以,企業郵箱系統應具備弱密碼檢測功能,並對員工郵箱進行強制檢測,並通過技術規則強制員工郵箱密碼滿足如下要求:
初始密碼只能用於首次登陸,之後必須強制修改密碼;
密碼長度大於15位;
密碼包括數字、字母和特殊符號;
密碼中不能包括姓名拼音或姓名拼音縮寫,也不能包括生日的各種數字組合;
使用弱密碼庫和暴力破解方式對員工郵箱密碼進行碰撞,限定時間內破解成功,則強制員工修改密碼。
3) 周期性強制改密
密碼定期強制更換,建議周期為3個月或6個月,更換後的新密碼也要進行弱密碼檢測。
4) 垃圾郵件阻斷
當有企業郵箱被用於發送垃圾郵件時,系統應具備檢測發現和阻斷髮送的功能,並能向用戶及管理員發送郵箱異常預警。這種對垃圾郵件的阻斷,既是對攻擊者的一種防範,同時也是對郵件系統的保護,以免郵件系統IP被其他郵件系統列入黑名單。
5) 異常登錄監測
郵件系統應對每一個用戶的日常使用行為進行特徵分析,並對異常登錄行為進行預警和阻攔,包括短時間內跨地域登錄,頻繁異地登錄,短時連續密碼錯誤等。
6) 反釣魚引擎
郵件系統應具備反釣魚引擎,能夠對郵件中的釣魚網址,特別是專門用於盜號的釣魚網址具備較強的識別能力,並且系統應具有足夠大的惡意網址庫和足夠快的惡意網址更新能力,從而能夠更加有效的實時攔截釣魚郵件。
7) 反病毒引擎
郵件系統應具備惡意程序掃描引擎,並且惡意樣本庫應足夠大,且更新速度足夠快,如此才能有效的識別郵件中攜帶的盜號木馬程序。不僅如此,從前一章中還可以看出,反病毒引擎還可以在更多的層面保護郵件系統,及郵箱使用者的安全。
二、員工教育
當然,不是所有的問題都能夠通過技術手段解決,特別是當郵件系統的監控能力被局限在內網環境中的時候,如果不進行有效的員工教育,難免出現各種不可預期的問題。特別是在盜號攻擊方面,需要做好以下幾方面的員工教育。
1) 企業郵箱密碼必須單獨設置,不能與任何其他第三方網站或應用使用相同的密碼。
制定這樣的規範主要是為了防止企業郵箱被撞庫。因為當第三方網站被黑客攻破,用戶的登錄密碼被洩漏時,黑客就有可能用已經竊取的密碼來嘗試登錄企業用戶的郵箱,從而實現對企業內部網絡的入侵。
2) 不用企業郵箱註冊第三方網站或應用。
很多網站或應用的註冊環節都會使用電子郵箱,而一旦這些第三方網站或應用的後臺系統被攻破,就可能造成企業用戶郵箱地址的洩漏,這就為垃圾郵件和釣魚郵件的攻擊提供了標靶。事實上,使用企業郵箱註冊第三方應用或服務,正是企業郵箱被大量曝光的主要原因。
如果用戶在第三方網站或應用上使用的密碼與企業郵箱密碼相同,則攻擊者便可一次性竊取到完整的企業郵箱地址和密碼,危害極大。
三.綜合管理
除了技術手段和員工教育外,郵箱帳號的安全性還與企業的內部管理關係密切。例如員工離職、工作調動、一人多帳戶等因素,都有可能造成郵件帳號管理與監控的疏漏。如果郵件系統長期存在當銷號未銷號,當變更未變更,閒置郵箱數量龐大的情況,那麼該企業的郵件系統,甚至是企業的內部網絡都將處於極其脆弱和極其危險的環境。