「」典型案例邮件攻击的监测与响应

文章图片

文章图片

文章图片

一、   邮件攻击应急响应典型案例
基于纵横随心邮安全团队处理的应急响应事件，整理的典型案例。
（一）   某国有企业邮箱系统遭受攻击
2019年11月8日，某大型国有企业信息化中心陆续接到员工反馈，收到管理员账号发送的疑似OA钓鱼邮件。根据员工反馈的截图显示，邮件发送方为公司内部管理员以集团信息管理部名义向全员发送的“集团通知！”邮件，要求全员点击邮件中地址进行备案。该“邮箱升级审核系统”要求员工输入用户名、登录地址、邮箱密码等信息。经评估，本次钓鱼邮件泄露信息疑似为包括集团领导在内的200名员工邮箱、联系方式及公司组织架构，以及十余名员工邮箱内的全部邮件内容。
该机构在安服人员建议下，启动备份邮件系统，向全员发送安全提醒，并更改邮箱密码，并将该管理员用户加入黑名单进行拦截。进一步分析发现，由于管理员使用弱口令，攻击者早在11月5日便获得了管理员权限，至11月8日才利用管理员账号发送钓鱼邮件。期间三天，攻击者是否进行了其他操作还需要进一步调查。
（二）   某外贸制造企业因钓鱼邮件损失20万美元
2019年7月，某大型制造企业向安全机构求助，该企业在向客户发送收款通知时，被客户告知已经按要求付款完毕，并向该企业提供了当时的付款记录、邮件记录。而该企业相关人员表示从未发送过该邮件，也无此邮件记录，且收款账号并不属于该公司，可能是诈骗账号。
后经应急响应人员鉴定，攻击者早已入侵企业邮件服务器，且已经长期潜伏在企业内网，及企业邮箱系统，几乎完全控制了企业财务人员及业务人员邮箱，并利用相关员工邮箱，通过篡改收款人账号信息，发送虚假的“收款邮件” 。为防止被发现，攻击者又在财务人员账号中删去了虚假的“收款邮件” ，抹去记录，从而使财务人员未能及时发现账号被盗及被人盗发邮件的情况。此次事件导致该公司直接损失20万美元。
进一步调查显示，造成此次损失的主要原因有二，首先，该公司管理员账号存在弱密码；其次，公司邮箱系统设计上存在安全漏洞。应急后该企业在安服人员的建议下，要求全员更新账号密码，并弃用了原有邮箱系统，更换了专业的外贸企业邮箱服务商。

二、   大数据安全监测邮件攻击典型案例
（一）针对国内网银用户的钓鱼攻击活动
2019年6月，纵横随心邮安全研究团队捕获了一封钓鱼邮件，邮件附件为eml文件：“中華電信108年05月電子發票通知函_[發票號碼：NJ064242
.eml” 。
从邮件内容可见，攻击者为了引诱受害者打开附件文档，故意将邮件中的兑奖方式标红，使受害者有打开电子发票查看信息的欲望。而该附件使用了CVE-2018漏洞；通过多维度数据的关联分析，确认本波攻击的受害者主要集中在我国东南沿海一带，受害者一般为外贸商人，且经常使用网银。

「」典型案例 邮件攻击的监测与响应

「」典型案例邮件攻击的监测与响应