郵件帳號需要好郵件系統守護

2020-12-24 站長之家

盜號攻擊,是企業郵箱用戶經常遭遇的一類網絡攻擊。根據Coremail論客與360的聯合監控分析顯示,2016年1-10月,國內企業郵箱用戶平均每天遭遇疑似盜號攻擊事件約1.0萬件,全年預計總量約為365萬件。

郵箱發生的很多種異常現象都與盜號有關。而黑客盜取企業用戶郵箱帳號的方法其實有很多種,如果不能正確的應對盜號攻擊,企業就會面臨員工郵箱頻繁被盜,修改密碼後再次被盜的情況。企業郵箱被盜號之後的外在表象有很多種。下面逐一進行介紹。

(一) 密碼被篡改

密碼被篡改,是最為明顯的郵箱帳號被盜現象。不過,通常情況下,對於經常被使用的企業郵箱帳戶,攻擊者一旦篡改密碼,就會很快被原使用者發現,並且郵箱的原使用者一旦成功重置了密碼,那麼攻擊者一般也就無法繼續使用這個郵箱了。所以,絕大多數的郵箱攻擊者通常不會輕易修改企業郵箱原有的密碼。

不過也有一些例外的情況。因為,如果企業用戶將郵箱與某些支付帳戶、遊戲帳戶或蘋果設備等相綁定,那麼攻擊者一旦盜號成功,很有可能就會修改郵箱密碼,目的是竊取與郵箱綁定的實際財富或虛擬財富。

下面兩張圖就是我們接到的企業郵箱用戶舉報的,由於密碼被篡改導致的郵箱無法正常登錄的截圖。左圖是來自山東某高校的用戶舉報,右圖是來自某電信運營商用戶的舉報。

(二) 發送垃圾郵件及引發次生災害

當郵箱在用戶不知情的情況下突然發出大量垃圾郵件,那麼一定是該郵箱帳號被盜了。下圖是某企業用戶郵箱被盜後,大量對外發送代開發票垃圾郵件的用戶界面截圖。

下面兩圖分別是某企業用戶郵箱被盜後,大量對外發送色情服務垃圾郵件的用戶界面截圖。

下圖是我們近期截獲的某公司用戶郵箱被盜後,向外發出的推廣賭博信息的垃圾郵件。

企業郵箱被盜用發送垃圾郵件,不僅會危及其他郵箱的用戶,同時,由垃圾郵件引發的「次生災害」也會直接危及該企業自身的郵件服務。當用戶遇到這些次生災害時,一般也就意味著其郵箱帳戶被盜了。

1) 郵箱無故收到大量退信

垃圾郵件一旦被其他郵件系統攔截或拒絕,該用戶的郵箱就會突然收到大量的退信。下面兩圖分別是某個企業用戶郵箱由於被盜後發送大量垃圾郵件而導致突然收到的大量退信的截圖。

2) 被盜郵箱,乃至整個企業的所有郵箱都無法對外發送郵件

一旦其他郵箱系統發現了某個郵件伺服器在大規模的發送垃圾郵件,就會拉黑該郵件伺服器的IP,使得由該伺服器發出的該企業的所有郵件都被其他郵件系統拒絕,結果就是該公司所有員工都無法對外發送郵件。

下面給出兩個由於發送垃圾郵件,郵箱帳號被系統查封的相關提示信息截圖。

3) 即便修改密碼,郵箱仍然大量對外發送垃圾郵件

造成這種情況的原因有很多種。其中最常見的三種原因是:一、郵箱設置被改動;二、郵箱設置了其他登錄認證方式;三、用戶電腦感染了病毒。

首先來看郵箱設置被改動的問題。

最為簡單的一種連續盜號方式就是攻擊者給郵箱設置一些密碼找回問題,這樣即便用戶修改了密碼,攻擊者仍然可以輕易的找回這些密碼,之後繼續用該郵箱發送垃圾郵件。

還有一種通過修改郵箱設置用於發送垃圾郵件的方法更為高明,使得攻擊者即便不登錄受害者郵箱,也能持續對外發送垃圾郵件。如果受害者不明其中機巧,那麼無論怎麼修改密碼或密碼找回問題,都無法阻止垃圾郵件的發出。這種巧妙的修改方法就是:給郵箱設置批量的自動轉發,並且將某個攻擊者指定的郵箱設置為信任郵箱,無條件轉發該郵箱發來的所有內容。如此一來,攻擊者只要向受害者的郵箱發信,該郵箱就會自動的把攻擊者發來的垃圾郵件群發給預先設定好的所有轉發對象,而攻擊者則無需長期掌握受害者的郵箱密碼。下圖就是一個郵箱系統的自動轉發設置界面截圖。

再來看郵箱設置其他登錄認證方式的問題。

如果我們假定用戶只能在郵箱登錄系統中輸入帳號和密碼進行登錄,那麼修改了帳戶密碼後,在確保不會再次被盜號的情況下,理論上說攻擊者就無法再次登錄了。但問題在於,很多企業為了方便辦公,會為郵箱設置其他的登錄認證方式。

例如:在某些企業的網絡系統中,員工使用內部帳號或域帳號登錄辦公網後,系統就會默認該員工郵箱也同時登錄成功,而不再進行郵箱密碼的驗證。如果員工登錄辦公網的密碼沒有被強制與郵箱密碼同步修改,那麼麼攻擊者就有可能憑藉對內部帳號或域帳號的登錄控制,繞過修改後的郵箱密碼,直接操作郵箱系統。

通過我們對企業郵箱安全事件的監測顯示,類似問題在企業用戶中實際上經常發生。

(三) 內外郵件欺詐

對於攻擊者來說,盜取企業郵箱的另外一個重要作用,就是用來對該企業的更多郵箱用戶實施欺詐,以盜取該企業更多用戶的郵箱。特別值得注意的是:對於安全意識較強的用戶來說,比對郵箱後綴是最重要的防騙手段之一;但如果攻擊者是使用企業內部郵箱欺詐內部員工,可信度和成功率都會大幅提高。

下圖是我們2016年7月截獲的某航空公司員工郵箱被盜後,向整個公司發出的一份冒充管理員身份OA釣魚郵件。

事實上,即便是用一個企業的郵箱對另外一個企業的郵箱發送這種詐騙郵件,同樣具有一定的迷惑性,如果後綴是edu、org或gov等時,收件人對郵件的信任度也會明顯提高。下圖是我們2016年9月截獲的某組織機構郵箱被盜後,向某教育機構發送釣魚郵件截圖。

還有個別膽大妄為的攻擊者,會直接使用內部郵箱,冒充管理員,給企業內部的各個下設管理機構或郵件組發送此類釣魚欺詐郵件。一旦企業中某個下設的管理機構中招,將直接威脅內網系統中最敏感的信息資料安全。

下圖是我們於2016年7月截獲的,某個網際網路公司被盜郵箱後向該企業各管理機構郵箱發送的OA釣魚郵件,收件人中不乏IT管理、人力資源、財務管理等高度敏感部門的郵箱。

當然,在某些特殊情況下,被盜的企業郵箱還會被用於更加高級的商業欺詐,如誘騙財務人員匯款,給合作夥伴或客戶發送虛假信息等。但這類事件已經接近APT攻擊,攻擊過程也非常的複雜,本次報告就不進行詳細分析了。

(四) 第三方帳號被盜

由於某些網絡服務,如遊戲、支付、iCloud等,會與電子郵箱進行綁定,而很多犯罪分子在盜取了被綁定的郵箱後,就會利用相關網絡服務提供的基於郵箱的密碼找回、密碼重置等功能盜取其他網絡服務的帳號和密碼,進而盜取用戶的遊戲裝備,網銀資產、網上資料(如照片,視頻等)。這種攻擊在個人郵箱領域經常發生。但如果企業用戶使用公司郵箱註冊了這些第三方服務,也會面臨相同的攻擊。

2016年下半年,頻繁被媒體曝光的蘋果設備鎖屏攻擊,實際上就是一種非常典型的郵箱盜號攻擊。其攻擊原理是:蘋果設備的帳號,特備iCloud功能通常是與電子郵箱綁定的;同時,蘋果安全中心還為用戶提供了一種鎖屏防盜功能,即用戶的iPhone手機或iPad如果被偷走後,用戶可以登錄安全中心將設備鎖死,使盜竊者設備無法正常使用;而蘋果鎖屏敲詐,則是犯罪分子反向利用了此項防盜功能,在首先盜取用戶郵箱帳戶後,利用iCloud的郵箱密碼找回功能,登錄蘋果安全中心,之後再把用戶的所有與該iCloud帳號綁定的蘋果設備鎖死,並在通知信息中留下自己的電話或QQ,要求用戶支付贖金後為其解鎖。

下面兩張圖是我們在網上找到的一些用戶蘋果手機遭遇此類鎖屏敲詐後開機界面。

客戶服務監測顯示,儘管如前所述,盜號攻擊的技術方法有很多,但盜號並非不可避免。企業郵箱系統只要採用某些基本的技術防護措施和管理方法,實際上就可以非常有效的避免95%以上的郵箱盜號事件發生。下面就對這些基本的技術方法和管理措施進行簡要的介紹。

利用技術手段對郵箱安全性進行監測是十分必要的,不能指望員工能很好的執行公司的各項安全規定。從反盜號的角度看,企業用戶的郵箱系統除了應當具備一般反垃圾郵件功能外,至少還應具備以下基本安全功能,才有可能在最大程度上阻止盜號攻擊:

1) 雙因子認證

雙因子認證仍然是目前比較容易部署,並且比較安全可靠的一種安全登錄認證方法。在郵件系統中,其主要工作方式是在郵箱的帳號和密碼之外,生成動態口令,並通過郵件登錄系統以外的方式傳送給登錄者。雙因子認證的方法,可以在很大程度上避免郵箱的帳號密碼被盜後,攻擊者直接入侵郵件系統或企業內網。但如果攻擊者進一步使用釣魚網站或木馬程序竊取動態口令,則仍有可能突破雙因子認證的防線。

除了動態口令之外,目前還有一些基於數字認證技術或生物識別技術等其他形式的雙因子認證技術也正在逐漸的普及開來。

特別需要說明的一點是,對於動態口令,傳統的技術實現方案大多需要使用一個單獨的硬體電子令牌。雖然電子令牌的體積一般很小,但攜帶和使用仍然有一定的不便。而目前,已經有一些新型的技術方案可以將電子令牌製作成一個手機上的APP,這樣使用起來就相對比較方便。下圖是360研發的一套可運行於普通智慧型手機上的動態口令APP界面截圖。

2) 弱密碼檢測

如前所述,弱密碼是企業郵箱被盜號的最主要原因。所以,企業郵箱系統應具備弱密碼檢測功能,並對員工郵箱進行強制檢測,並通過技術規則強制員工郵箱密碼滿足如下要求:

初始密碼只能用於首次登陸,之後必須強制修改密碼;

密碼長度大於15位;

密碼包括數字、字母和特殊符號;

密碼中不能包括姓名拼音或姓名拼音縮寫,也不能包括生日的各種數字組合;

使用弱密碼庫和暴力破解方式對員工郵箱密碼進行碰撞,限定時間內破解成功,則強制員工修改密碼。

3) 周期性強制改密

密碼定期強制更換,建議周期為3個月或6個月,更換後的新密碼也要進行弱密碼檢測。

4) 垃圾郵件阻斷

當有企業郵箱被用於發送垃圾郵件時,系統應具備檢測發現和阻斷髮送的功能,並能向用戶及管理員發送郵箱異常預警。這種對垃圾郵件的阻斷,既是對攻擊者的一種防範,同時也是對郵件系統的保護,以免郵件系統IP被其他郵件系統列入黑名單。

5) 異常登錄監測

郵件系統應對每一個用戶的日常使用行為進行特徵分析,並對異常登錄行為進行預警和阻攔,包括短時間內跨地域登錄,頻繁異地登錄,短時連續密碼錯誤等。

6) 反釣魚引擎

郵件系統應具備反釣魚引擎,能夠對郵件中的釣魚網址,特別是專門用於盜號的釣魚網址具備較強的識別能力,並且系統應具有足夠大的惡意網址庫和足夠快的惡意網址更新能力,從而能夠更加有效的實時攔截釣魚郵件。

7) 反病毒引擎

郵件系統應具備惡意程序掃描引擎,並且惡意樣本庫應足夠大,且更新速度足夠快,如此才能有效的識別郵件中攜帶的盜號木馬程序。不僅如此,從前一章中還可以看出,反病毒引擎還可以在更多的層面保護郵件系統,及郵箱使用者的安全。

Coremail論客與360的聯合推出360安全郵件系統為了就是防止黑客的侵入。

 

相關焦點

  • 蘋果手機丟失收到「官方郵件」騙取帳號密碼
    新騙局  蘋果手機被盜,鬱悶不已的失主收到自稱是蘋果公司的「官方郵件」,提醒他已確定其手機位置,輸入帳號和密碼後可鎖定手機,但失主按要求操作後卻發現上當了。該信息內容是:您丟失的iPhone設備正在強行登錄激活,系統已定位準確位置,參考IP:106.11……請前往http://www.icloud-vid.com/id查看詳細信息並鎖定設備。  周先生打開連結看到,網頁需要輸入蘋果的ID和密碼來查找「我的iPhone」,可當他輸入密碼後卻發現登錄不了。一天後,他又收到了一封「蘋果公司」的「官方郵件」。
  • 亞馬遜郵件模板_跨境電商(帳號申訴/二審)郵件回復模板-雨果網
    郵件模板 在跨境電商亞馬遜店鋪運營過程中,郵件溝通能力是運營者最基礎和必備的技能之一。尤其在旺季的時候,遇到帳號申訴、測評、被跟賣、售後、退貨被審核等等場景,都需要通過郵件溝通的方式去解決問題。因此,雨果君為大家整理了各種場景的跨境電商各個平臺郵件模板,供賣家借鑑參考。
  • Coremail郵件系統盜號分析報告
    而更為可怕的是,約佔所有被測試的企業郵箱帳號總量9.8%的郵箱帳戶,使用的是企業郵件系統最常見的10個流行密碼。也就是說,如果攻擊者已經通過釣魚、木馬等盜號手段獲取了大量企業用戶的郵箱帳號和密碼,並據此準確的推算出了10個最流行的企業郵箱密碼,那麼,在約1.12億總規模的企業郵箱用戶中,就可能有約1097.6萬個企業郵箱帳號屬於暴力破解的高危帳號——攻擊者最多僅需嘗試10次,就有可能攻破這些郵箱。
  • 發揮郵件中繼服務優勢作用有助於保障郵件安全投遞
    ,與此同時也對郵件伺服器的系統和信息安全提供了全方位的保障。   合理利用領先優勢   眾所周知,一旦郵件伺服器被黑客攻擊並且憑藉郵件帳號的密碼,那麼即便帳號曾經正常,也會因為被破解而發送大量的垃圾郵件,如果沒有及時判定並且採取妥善的處置措施,就會導致郵件伺服器IP被各類RBL黑名單反覆地列入其中,郵件退信問題也就屢禁不止。
  • 這些亞馬遜日語郵件模板你一定很需要
    亞馬遜日本站運營郵件都不會寫,也沒有亞馬遜日語郵件模板,甚至日語都不懂真的能做亞馬遜嗎?的確,曾經有日本賣家,因為使用英語回復日本客戶而收到投訴,甚至連帳號都掛了。  當然,有了這些郵件模版之後,你還可以藉助一些催評軟體,比如SellingExpress群發郵件系統可以快速複製上面的郵件模版,然後設定好你需要發送的時間,自動給買家發送郵件,這樣效果會更高。
  • Coremail統一中科院電子郵件系統應用
    經過長達1年的產品調研測試及同業產品的技術比較,Coremail郵件系統穩定、成熟的系統架構和強大的反垃圾能力獲得了中科院計算機網絡信息中心的認可。2004年,Coremail郵件系統配合中科院電信級機房和NAS集群存儲系統搭建了中科院郵件運營中心,並將院屬各單位的郵件系統陸續平滑遷移到中科院郵件系統中。
  • 亞馬遜「群發郵件」過後,務必重視帳號註冊和申述細節等問題!
    小編在賣家群裡看到有賣家說自己的註冊的帳號沒有收到,但是買的帳號卻收到了這個郵件;還有賣家說這封郵件新帳號收到了,但是老帳號卻沒有收到。不過這次的郵件並不全是亞馬遜發的,還有一些顯示是「代發」,有賣家講,這次的郵件有一部分是亞馬遜官方發的,但是也有一部分是釣魚郵件。
  • SendPulse -強大的EDM郵件營銷工具
    如果你不太會美學設計也不用太過擔心,SendPUlse系統自帶有130多套免費模板,我看了一下都是比較實用的,你只需要修改對應文字和連結指向即可。十分鐘內輕輕鬆鬆的完成EDM郵件內容的開發工作,是不是感覺很amazoning?二.
  • 日語商務郵件的郵件回復的規則及技巧
    第二:郵件回復再晚不能超過第二天對於不能立刻回復,需要時間去確認的郵件,再晚也要在第二天當天給予回復的,如果在第二天也不回覆郵件,不但是嚴重的商務禮節失禮,還有可能失去你的「信用」。另外,回覆郵件的時間一定要在對方公司營業時間段內回復。
  • 電子郵件詐騙黑手伸向雅虎付費用戶的信用卡帳號
    這些網上騙子想法設法地想取得付費用戶的個人信息,特別是這些用戶的信用卡帳號。  這些騙子用的伎倆是通過給雅虎用戶發電子郵件,通過郵件詐騙的方法讓用戶上當,以達到獲得用戶的網上帳號的目的。雅虎的發言人講,雅虎正在密切注視這些網上的騙局, 同時也提醒用戶防止上當受騙。
  • 構建反病毒反垃圾郵件系統(六)
    首頁 > 系統 > 關鍵詞 > 反病毒最新資訊 > 正文 構建反病毒反垃圾郵件系統(六)
  • 目前,已有涉事賣家收到Coupang官方郵件通知,帳號將被關停。
    據悉,平臺會關閉欺詐帳號銷售權限,凍結資金。而對於長期未操作的帳戶也會進入休眠狀態,暫停銷售。 目前,已有涉事賣家收到Coupang官方郵件通知。通知顯示:「系統檢測到你的帳號可能被用於銷售假貨或有其他欺騙、欺詐或非法行為。為保護客戶體驗,平臺將關閉你的帳號。如想重新激活該帳號,可聯繫helpseller_China@Coupang.com。」
  • Web Power謝晶:治理垃圾郵件可繁榮郵件營銷
    我們在這個天平上面,在整個郵件市場供應鏈上面,我們會看到從企業端發送,到收件人,首先作為專門發送郵件的服務商來說,我們利用自身的非常好的方式去教育我們客戶告訴他們怎麼樣才是好的郵件,怎麼樣才能提升郵件的互動性和營銷效果。而在發送郵件過去之後,在整個傳送鏈中如何保持整個槓桿是處於平衡的狀態。在這塊,我們反垃圾郵件的聯盟,還包括誠信郵件的聯盟會起到非常好的監管作用。
  • RUSHMAIL:會展行業怎麼使用郵件群發系統
    不論是哪種,展會的最終目的都是帶動經濟發展、達成經濟效益,為此就需要提高參展人的質量,讓與展會相關的企業、個人能夠知道這場展會、參與這場展會,才能讓舉辦人能夠憑藉展會達成自己的目標。想要讓目標企業、客戶參與展會,就需要對目標進行宣傳,展會的核心是低成本、高質量的溝通與合作,那麼其使用的宣傳方式也不應該離開這個核心要點,使用一個專業的郵件群發系統,就是一種幫助展會對於目標企業、客戶進行宣傳的低成本高質量的方式。一、成本低廉低廉的成本是郵件群發系統的首要優勢。
  • Coremail郵件系統 多屏同步辦公更高效
    Coremail郵件系統、企業郵箱無縫集成企業郵件伺服器,輕鬆打破不同設備、不同平臺、不同系統之間的壁壘,讓用戶的各種設備和平臺都能實時自動同步通訊錄、郵件、日程等數據。MAC一鍵配置很多用戶在MAC上使用郵箱,需要進行多項配置才能達到正常使用,XT5 MAC整體解決方案為MAC客戶提供Coremail快捷配置工具,輕鬆解決MAC用戶的郵箱使用煩惱。MAC一鍵配置可完成同步郵件、同步會議與日程、查詢組織通訊錄、同步個人通訊錄。
  • Coremail深耕信創,構建安全可控郵件系統
    Coremail深耕信創,構建安全可控郵件系統 Coremail深耕信創,構建安全可控郵件系統 2020-06-05 15:58:49  來源:網際網路信創生態合作也逐漸成為現代化信息應用的新趨勢,不斷湧現的新技術新產品讓國產化系統得到質的飛躍,滿足了企業信息化進程的需要,為企業提供高效不間斷的安全防護。
  • 福建師範大學電子郵件系統建設項目結果公告(包1)
    1、項目名稱:福建師範大學電子郵件系統建設項目   2、項目編號:[3500]FJTH[GK]2020016   3、採購人名稱:福建師範大學   地址:福建省福州市倉山區上三路8號   項目負責人:葉周鋒   聯繫電話:18906919695   4、代理機構名稱:福建省天海招標有限公司
  • 如何寫好一封電子郵件?(收藏)
    發郵件,絕對是其中一項。越是重要的內容,越需要通過郵件溝通。寫郵件應該是現代辦公人員必備的一項基本技能了。郵件的寫作水平,也直接體現出一個人的「職業」程度。為了讓大家少走彎路,避免不必要的錯誤,使用好電子郵件這個手段,特別整理了關於寫郵件的一些內容。
  • 生日快樂,電子郵件
    在 2008 年《時代》採訪 Ray Tomlinson 的文章中指出,公司職工每天花 49 分鐘來管理電子郵件;每名員工每小時檢查電子郵箱 30 到 40 次。 儘管第一個電子郵件蠕蟲病毒出現在 UNIX 系統上,但由於電子郵件的便利性:可以確實發送到相應的人,只要下載附件便可中毒。越來越多的病毒通過電子郵件的途徑傳播。
  • 20課零基礎快速學python完成簡單郵件完整郵件代碼塊
    帶大家搞定一個能夠發送郵件的程序, 這樣就不用每次都去登錄郵箱發送郵件了。在這個實現需求的過程中, 可能遇到新的模塊,這節課的項目目標就是:明確項目目的後, 接下來, 我們進入第二步:這是第一次完成關於模塊的項目,析了下流程, 將項目拆成兩個版本。好了, 拆解完版本, 接下來就開始幹活吧.