盜號攻擊,是企業郵箱用戶經常遭遇的一類網絡攻擊。根據Coremail論客與360的聯合監控分析顯示,2016年1-10月,國內企業郵箱用戶平均每天遭遇疑似盜號攻擊事件約1.0萬件,全年預計總量約為365萬件。
郵箱發生的很多種異常現象都與盜號有關。而黑客盜取企業用戶郵箱帳號的方法其實有很多種,如果不能正確的應對盜號攻擊,企業就會面臨員工郵箱頻繁被盜,修改密碼後再次被盜的情況。企業郵箱被盜號之後的外在表象有很多種。下面逐一進行介紹。
(一) 密碼被篡改
密碼被篡改,是最為明顯的郵箱帳號被盜現象。不過,通常情況下,對於經常被使用的企業郵箱帳戶,攻擊者一旦篡改密碼,就會很快被原使用者發現,並且郵箱的原使用者一旦成功重置了密碼,那麼攻擊者一般也就無法繼續使用這個郵箱了。所以,絕大多數的郵箱攻擊者通常不會輕易修改企業郵箱原有的密碼。
不過也有一些例外的情況。因為,如果企業用戶將郵箱與某些支付帳戶、遊戲帳戶或蘋果設備等相綁定,那麼攻擊者一旦盜號成功,很有可能就會修改郵箱密碼,目的是竊取與郵箱綁定的實際財富或虛擬財富。
下面兩張圖就是我們接到的企業郵箱用戶舉報的,由於密碼被篡改導致的郵箱無法正常登錄的截圖。左圖是來自山東某高校的用戶舉報,右圖是來自某電信運營商用戶的舉報。
(二) 發送垃圾郵件及引發次生災害
當郵箱在用戶不知情的情況下突然發出大量垃圾郵件,那麼一定是該郵箱帳號被盜了。下圖是某企業用戶郵箱被盜後,大量對外發送代開發票垃圾郵件的用戶界面截圖。
下面兩圖分別是某企業用戶郵箱被盜後,大量對外發送色情服務垃圾郵件的用戶界面截圖。
下圖是我們近期截獲的某公司用戶郵箱被盜後,向外發出的推廣賭博信息的垃圾郵件。
企業郵箱被盜用發送垃圾郵件,不僅會危及其他郵箱的用戶,同時,由垃圾郵件引發的「次生災害」也會直接危及該企業自身的郵件服務。當用戶遇到這些次生災害時,一般也就意味著其郵箱帳戶被盜了。
1) 郵箱無故收到大量退信
垃圾郵件一旦被其他郵件系統攔截或拒絕,該用戶的郵箱就會突然收到大量的退信。下面兩圖分別是某個企業用戶郵箱由於被盜後發送大量垃圾郵件而導致突然收到的大量退信的截圖。
2) 被盜郵箱,乃至整個企業的所有郵箱都無法對外發送郵件
一旦其他郵箱系統發現了某個郵件伺服器在大規模的發送垃圾郵件,就會拉黑該郵件伺服器的IP,使得由該伺服器發出的該企業的所有郵件都被其他郵件系統拒絕,結果就是該公司所有員工都無法對外發送郵件。
下面給出兩個由於發送垃圾郵件,郵箱帳號被系統查封的相關提示信息截圖。
3) 即便修改密碼,郵箱仍然大量對外發送垃圾郵件
造成這種情況的原因有很多種。其中最常見的三種原因是:一、郵箱設置被改動;二、郵箱設置了其他登錄認證方式;三、用戶電腦感染了病毒。
首先來看郵箱設置被改動的問題。
最為簡單的一種連續盜號方式就是攻擊者給郵箱設置一些密碼找回問題,這樣即便用戶修改了密碼,攻擊者仍然可以輕易的找回這些密碼,之後繼續用該郵箱發送垃圾郵件。
還有一種通過修改郵箱設置用於發送垃圾郵件的方法更為高明,使得攻擊者即便不登錄受害者郵箱,也能持續對外發送垃圾郵件。如果受害者不明其中機巧,那麼無論怎麼修改密碼或密碼找回問題,都無法阻止垃圾郵件的發出。這種巧妙的修改方法就是:給郵箱設置批量的自動轉發,並且將某個攻擊者指定的郵箱設置為信任郵箱,無條件轉發該郵箱發來的所有內容。如此一來,攻擊者只要向受害者的郵箱發信,該郵箱就會自動的把攻擊者發來的垃圾郵件群發給預先設定好的所有轉發對象,而攻擊者則無需長期掌握受害者的郵箱密碼。下圖就是一個郵箱系統的自動轉發設置界面截圖。
再來看郵箱設置其他登錄認證方式的問題。
如果我們假定用戶只能在郵箱登錄系統中輸入帳號和密碼進行登錄,那麼修改了帳戶密碼後,在確保不會再次被盜號的情況下,理論上說攻擊者就無法再次登錄了。但問題在於,很多企業為了方便辦公,會為郵箱設置其他的登錄認證方式。
例如:在某些企業的網絡系統中,員工使用內部帳號或域帳號登錄辦公網後,系統就會默認該員工郵箱也同時登錄成功,而不再進行郵箱密碼的驗證。如果員工登錄辦公網的密碼沒有被強制與郵箱密碼同步修改,那麼麼攻擊者就有可能憑藉對內部帳號或域帳號的登錄控制,繞過修改後的郵箱密碼,直接操作郵箱系統。
通過我們對企業郵箱安全事件的監測顯示,類似問題在企業用戶中實際上經常發生。
(三) 內外郵件欺詐
對於攻擊者來說,盜取企業郵箱的另外一個重要作用,就是用來對該企業的更多郵箱用戶實施欺詐,以盜取該企業更多用戶的郵箱。特別值得注意的是:對於安全意識較強的用戶來說,比對郵箱後綴是最重要的防騙手段之一;但如果攻擊者是使用企業內部郵箱欺詐內部員工,可信度和成功率都會大幅提高。
下圖是我們2016年7月截獲的某航空公司員工郵箱被盜後,向整個公司發出的一份冒充管理員身份OA釣魚郵件。
事實上,即便是用一個企業的郵箱對另外一個企業的郵箱發送這種詐騙郵件,同樣具有一定的迷惑性,如果後綴是edu、org或gov等時,收件人對郵件的信任度也會明顯提高。下圖是我們2016年9月截獲的某組織機構郵箱被盜後,向某教育機構發送釣魚郵件截圖。
還有個別膽大妄為的攻擊者,會直接使用內部郵箱,冒充管理員,給企業內部的各個下設管理機構或郵件組發送此類釣魚欺詐郵件。一旦企業中某個下設的管理機構中招,將直接威脅內網系統中最敏感的信息資料安全。
下圖是我們於2016年7月截獲的,某個網際網路公司被盜郵箱後向該企業各管理機構郵箱發送的OA釣魚郵件,收件人中不乏IT管理、人力資源、財務管理等高度敏感部門的郵箱。
當然,在某些特殊情況下,被盜的企業郵箱還會被用於更加高級的商業欺詐,如誘騙財務人員匯款,給合作夥伴或客戶發送虛假信息等。但這類事件已經接近APT攻擊,攻擊過程也非常的複雜,本次報告就不進行詳細分析了。
(四) 第三方帳號被盜
由於某些網絡服務,如遊戲、支付、iCloud等,會與電子郵箱進行綁定,而很多犯罪分子在盜取了被綁定的郵箱後,就會利用相關網絡服務提供的基於郵箱的密碼找回、密碼重置等功能盜取其他網絡服務的帳號和密碼,進而盜取用戶的遊戲裝備,網銀資產、網上資料(如照片,視頻等)。這種攻擊在個人郵箱領域經常發生。但如果企業用戶使用公司郵箱註冊了這些第三方服務,也會面臨相同的攻擊。
2016年下半年,頻繁被媒體曝光的蘋果設備鎖屏攻擊,實際上就是一種非常典型的郵箱盜號攻擊。其攻擊原理是:蘋果設備的帳號,特備iCloud功能通常是與電子郵箱綁定的;同時,蘋果安全中心還為用戶提供了一種鎖屏防盜功能,即用戶的iPhone手機或iPad如果被偷走後,用戶可以登錄安全中心將設備鎖死,使盜竊者設備無法正常使用;而蘋果鎖屏敲詐,則是犯罪分子反向利用了此項防盜功能,在首先盜取用戶郵箱帳戶後,利用iCloud的郵箱密碼找回功能,登錄蘋果安全中心,之後再把用戶的所有與該iCloud帳號綁定的蘋果設備鎖死,並在通知信息中留下自己的電話或QQ,要求用戶支付贖金後為其解鎖。
下面兩張圖是我們在網上找到的一些用戶蘋果手機遭遇此類鎖屏敲詐後開機界面。
客戶服務監測顯示,儘管如前所述,盜號攻擊的技術方法有很多,但盜號並非不可避免。企業郵箱系統只要採用某些基本的技術防護措施和管理方法,實際上就可以非常有效的避免95%以上的郵箱盜號事件發生。下面就對這些基本的技術方法和管理措施進行簡要的介紹。
利用技術手段對郵箱安全性進行監測是十分必要的,不能指望員工能很好的執行公司的各項安全規定。從反盜號的角度看,企業用戶的郵箱系統除了應當具備一般反垃圾郵件功能外,至少還應具備以下基本安全功能,才有可能在最大程度上阻止盜號攻擊:
1) 雙因子認證
雙因子認證仍然是目前比較容易部署,並且比較安全可靠的一種安全登錄認證方法。在郵件系統中,其主要工作方式是在郵箱的帳號和密碼之外,生成動態口令,並通過郵件登錄系統以外的方式傳送給登錄者。雙因子認證的方法,可以在很大程度上避免郵箱的帳號密碼被盜後,攻擊者直接入侵郵件系統或企業內網。但如果攻擊者進一步使用釣魚網站或木馬程序竊取動態口令,則仍有可能突破雙因子認證的防線。
除了動態口令之外,目前還有一些基於數字認證技術或生物識別技術等其他形式的雙因子認證技術也正在逐漸的普及開來。
特別需要說明的一點是,對於動態口令,傳統的技術實現方案大多需要使用一個單獨的硬體電子令牌。雖然電子令牌的體積一般很小,但攜帶和使用仍然有一定的不便。而目前,已經有一些新型的技術方案可以將電子令牌製作成一個手機上的APP,這樣使用起來就相對比較方便。下圖是360研發的一套可運行於普通智慧型手機上的動態口令APP界面截圖。
2) 弱密碼檢測
如前所述,弱密碼是企業郵箱被盜號的最主要原因。所以,企業郵箱系統應具備弱密碼檢測功能,並對員工郵箱進行強制檢測,並通過技術規則強制員工郵箱密碼滿足如下要求:
初始密碼只能用於首次登陸,之後必須強制修改密碼;
密碼長度大於15位;
密碼包括數字、字母和特殊符號;
密碼中不能包括姓名拼音或姓名拼音縮寫,也不能包括生日的各種數字組合;
使用弱密碼庫和暴力破解方式對員工郵箱密碼進行碰撞,限定時間內破解成功,則強制員工修改密碼。
3) 周期性強制改密
密碼定期強制更換,建議周期為3個月或6個月,更換後的新密碼也要進行弱密碼檢測。
4) 垃圾郵件阻斷
當有企業郵箱被用於發送垃圾郵件時,系統應具備檢測發現和阻斷髮送的功能,並能向用戶及管理員發送郵箱異常預警。這種對垃圾郵件的阻斷,既是對攻擊者的一種防範,同時也是對郵件系統的保護,以免郵件系統IP被其他郵件系統列入黑名單。
5) 異常登錄監測
郵件系統應對每一個用戶的日常使用行為進行特徵分析,並對異常登錄行為進行預警和阻攔,包括短時間內跨地域登錄,頻繁異地登錄,短時連續密碼錯誤等。
6) 反釣魚引擎
郵件系統應具備反釣魚引擎,能夠對郵件中的釣魚網址,特別是專門用於盜號的釣魚網址具備較強的識別能力,並且系統應具有足夠大的惡意網址庫和足夠快的惡意網址更新能力,從而能夠更加有效的實時攔截釣魚郵件。
7) 反病毒引擎
郵件系統應具備惡意程序掃描引擎,並且惡意樣本庫應足夠大,且更新速度足夠快,如此才能有效的識別郵件中攜帶的盜號木馬程序。不僅如此,從前一章中還可以看出,反病毒引擎還可以在更多的層面保護郵件系統,及郵箱使用者的安全。
Coremail論客與360的聯合推出360安全郵件系統為了就是防止黑客的侵入。