北京网际思安科技有限公司麦赛邮件安全实验室(MailSec Lab)研究发布了《2022年全球邮件威胁报告》(以下简称“报告”)。报告数据显示:在2022年,全球每1000个邮箱,平均每月遭受的邮件攻击数量为299.27次(不含垃圾邮件),同比增加12.36%。其中,钓鱼邮件攻击占比近七成。
如图1所示,收到一份“备案通知”这类邮件一般都会有一些指引性提示,让你进行下一步操作。在本例中是催促收件人对域名进行备案,在邮件中有一个立即备案的链接地址。
图1 收到钓鱼邮件
钓鱼邮件主要通过以下方式进行攻击:
精心构造的钓鱼邮件对企业安全构成巨大威胁,普通个人用户基本很难识别。
为了更好地应对和防范钓鱼邮件攻击,我们来看一个真实案例。
某企业员工小李收到了一封来自“IT支持部门”的邮件,邮件内容为“紧急系统升级通知”,并附带了一个名为“系统升级指南.docx”的附件。邮件要求小李立即打开附件并按照指南操作,否则将无法正常使用公司系统。
小李打开了附件,运行了其中的宏脚本,结果导致电脑被远程控制,企业内网被攻击者渗透,造成了严重的安全事件。
在识别钓鱼邮件时,检查发件人地址是一个重要的步骤。很多钓鱼邮件通过伪造发件人名称来迷惑收件人,使其误以为邮件来自可信的来源。然而,通过查看实际的发件人地址,可以发现其中的异常。
在本例中,我们将鼠标移动到发件人名称上,发现真实的发件人地址是 Cher@lifeacademy.org
,而伪造的发件人名称显示为 si**-c*.com
。这一信息如图2所示。通过这种方法,可以有效地识别出邮件是否为钓鱼邮件。
识别钓鱼邮件是保障网络安全的重要步骤之一。本文将介绍如何通过发件人地址和邮件内容识别钓鱼邮件,并提供具体的案例分析和防范措施。
钓鱼邮件常通过伪造发件人名称来迷惑收件人,使其误以为邮件来自可信的来源。通过查看实际的发件人地址,可以发现其中的异常。
示例分析
在本例中,我们将鼠标移动到发件人名称上,发现真实的发件人地址是 Cher@lifeacademy.org
,而伪造的发件人名称显示为 si**-c*.com
。这一信息如图2所示。通过这种方法,可以有效地识别出邮件是否为钓鱼邮件。
图4收集邮箱密码等信息
对邮箱及域名信息进行查询:
图6 域名及邮件关键字查询
(1)通过360威胁情报对其进行查询 如图7所示,显示为“钓鱼、欺诈地址、黑灰产”情报标签。其IP解析地址为:103.117.72.61
图7 威胁情报分析 (2)同IP域名解析 对该域名解析IP同域名进行查看,如图8所示,获取多个类似诈骗网站地址信息。
图8获取同IP多个解析域名信息
打开诈骗www.oalkmail.xyz网站地址,对其首页查看源代码,通过源代码可以获取该网站是thinkphp编写,如图9所示。
图9通过源代码获取开源程序
通过thinkphp漏洞利用工具对该目标站点所有漏洞进行检测,发现存在日志泄漏,如图10所示。
图10 漏洞利用检测 1.获取并下载日志文件 对目标站点进行日志遍历,例如https://www.oalkmail.xyz//runtime/log/202304/14.log获取所有日志文件,将其下载到本地。打开所有的日志文件并搜索password关键字,如图11所示,获取后台账号密码。
图11搜索后台管理员密码 2.登录后台 使用账号及密码:admin/2*****'直接登录后台(后台日志文件也能获取后台地址)如图12所示。
图12 获取并登录后台地址 3.后台获取所有钓鱼信息 如图13所示,在后台获取诈骗分子钓鱼获取的所有信息,包含姓名、手机、邮箱及密码等信息。
图13 获取所有被钓鱼人员信息 4.其他延伸 通过fofa.info对域名进行拓展,获取该IP下端口开放情况,如图14所示,该站点采用宝塔面板进行管理和部署,如图15所示。根据经验基本为诈骗团伙所用。
图14信息拓展
图15 宝塔控制面板 5.后记 随机对钓鱼获取的账号和密码信息进行测试,基本都能成功登录邮箱,如图16所示。
图16登录邮箱验证
企业可以通过定期开展安全培训或者发送警示邮件等方式提高员工的安全意识,使他们更加警觉,并且知道如何识别钓鱼邮件。
用户在收到邮件后要审慎地阅读邮件内容、查看邮件中的链接是否为合法链接、检查邮件的发送人是否真实等,以及注意检查邮件的附件是否真实合法。
保持系统和防病毒软件的最新版本,可以帮助防御各种病毒和恶意软件。
企业要建立完善的网络和数据安全措施,并采用防火墙、数据加密等技术手段进行防范。综上所述,提高员工的安全意识,识别钓鱼邮件,更新防病毒软件,加强网络与数据安全措施,可有效防范钓鱼邮件攻击