电子邮箱被盗号的方式方法有很多,有一些方式还会比较巧妙和复杂。不过,从大的方面来看,最主要的原因有以下四种:一是因为使用弱密码而被暴力破解;二是收到带毒邮件后感染木马;三是收到钓鱼邮件被钓鱼盗号;四是邮箱服务器遭遇拖库或撞库攻击。
从安全性的角度来看,企业邮箱必须具备弱密码检测及弱密码被强制改密功能。但我们的监测发现,即便是在哪些采购了由专业邮箱服务商提供的企业邮箱系统的企业中,也有相当数量的企业没有开启系统自带的弱密码检测及弱密码强制改密功能。而在那些完全使用开源系统自建邮箱服务的企业中,这种危险情况更加普遍。
为了能够确切的掌握企业邮箱使用弱密码的情况,我们在得到了相关企业授权的情况下,对部分企业的用户邮箱进行了弱密码抽样检测,结果发现:使用长度不足或密码结构过于简单的弱密码的企业邮箱帐号,占到了所有被测试的企业邮箱帐号的16.0%。而更为可怕的是,约占所有被测试的企业邮箱帐号总量9.8%的邮箱账户,使用的是企业邮件系统最常见的10个流行密码。也就是说,如果攻击者已经通过钓鱼、木马等盗号手段获取了大量企业用户的邮箱账号和密码,并据此准确的推算出了10个流行的企业邮箱密码,那么,在约1.12亿总规模的企业邮箱用户中,就可能有约1097.6万个企业邮箱帐号属于暴力破解的高危帐号——攻击者最多仅需尝试10次,就有可能攻破这些邮箱。
事实上,针对用户使用弱密码的情况,攻击者们每天都在对大量用户进行着不断的暴力尝试。抽样统计显示,每个星期至少有8.2%的企业邮箱帐号会遭遇暴力破解猜测,这些邮箱帐号在一周内至少被使用不同密码尝试登录50次以上,平均每个账户每天被使用不同密码尝试登陆85次以上,甚至有个别完全不设任何防暴力破解措施防护的企业邮箱每天会遭到3000次以上的暴力破解猜测。
下图给出了企业邮箱帐号遭遇暴力破解的比例情况。
下图给出了企业邮箱在遭遇暴力破解的情况下,每个邮箱平均每天被破解的次数。需要说明的是,邮箱每天被破解的次数,除了与邮箱密码的本身强度相关外,也与企业邮箱具体的防暴力破解安全策略有关。所以,邮箱被破解的次数不能完全说明邮箱密码的强度,它仅体现黑客相关攻击活动的活跃程度。
一次大规模邮箱盗号攻击事件为例,说明邮箱盗号事件的手法及危害。
2016年下半年,Coremail论客服务系统接到某大型企业客户举报,其邮箱服务系统中的300余个邮箱帐号在某日夜间出现异常IP登陆,并几乎同时对外发送垃圾邮件的情况。。邮件内容均为某境外赌博网站的推广信息。邮件内容示例如下。
经查,涉案赌博网站域名共有三个,相关赌博网站的页面截图如下:
应该大型企业客户的协查要求,Coremail论客与360追日团队成立了联合调查小组,对该事件的起因、背景及相关影响展开调查。
调查显示,这300余个被盗号并被用来集中发送垃圾邮件的电子邮箱,其盗号过程并不在此次事件案发前后发生的,事件的起因实际上一直可以追溯到2015年上半年。当时,该公司的很多用户都接到一封冒充OA系统管理员的钓鱼欺诈邮件,有相当数量的该企业员工被骗,并在钓鱼网站上填写了真实的邮箱帐号和密码,从而帐号被盗。自2015年上半年至今,除极少数邮箱曾经被攻击者偶尔使用过之外,一直没有发生其他类似的大规模垃圾邮件外发事件。
而引起调查小组关注的是,在2015年上半年发生的那次钓鱼邮件攻击事件中,相关邮件实际上又是由攻击者使用其他企业的邮箱帐号发送出来的。通过进一步对钓鱼盗号邮件及相关博彩信息邮件进行不断的追踪、溯源分析后发现:攻击者最早期的活动迹象出现在2014年8月,此后,攻击者通过钓鱼盗号,再钓鱼再盗号的循环攻击,至少先后盗取和使用了29家企业的数千个企业邮箱,而且还另外使用了一个攻击者自己独立注册的邮箱系统。而最早被攻陷的企业,是一家北京的通信服务公司,该公司邮箱是所有后续OA钓鱼攻击的总起点。不仅如此,该公司的官网也被攻击者篡改挂马,植入了大量赌博、博彩类的钓鱼信息。
下图给出了此次“OA钓鱼+赌博推广”攻击事件中,攻击者同时控制的所有企业邮箱所属企业的行业分布情况。可以看出,被这个攻击者控制的企业邮箱,有9家属于制造业企业,7家属于互联网公司,另有通信企业3家,事业单位和金融证券类企业各2家。
从这起案例中可以看出,垃圾邮件攻击者的攻击有以下特点:
1) 从钓鱼盗号攻击到发送垃圾邮件攻击之间,攻击者的潜伏和准备周期特别长。攻击者这样做的主要目的是为了增加事后追查难度,更好的隐藏自己。如果没有完整的历史数据存留,我们就很难复原整个攻击过程。
2) 攻击者会不断的以新盗取的企业邮箱为跳板,对更多的企业邮箱发起攻击。
3) 一个垃圾邮件攻击者的手中,往往会同时掌握成千上万个企业邮箱帐号资源。
这起案例也再次告诉我们在企业安全领域的一个基本事实:即便没有显著的或重大的安全事件发生时,也不等于企业的系统就是安全可靠,攻击者可能早已完成了入侵和控制。而一旦破坏性攻击事件真的发生了,再进行防护可能早就为时已晚。
所以Coremail论客与360为了防止更多受害者遇到盗号事件发生,联合研究事件的始末,发现只要企业邮箱系统采用某些基本防护措施和管理方法,还是非常有效的避免盗号事件发生,以下是3大方面解说:
一、技术方面
1) 双因子认证
双因子认证仍然是目前比较容易部署,并且比较安全可靠的一种安全登录认证方法。在邮件系统中,其主要工作方式是在邮箱的帐号和密码之外,生成动态口令,并通过邮件登录系统以外的方式传送给登录者。双因子认证的方法,可以在很大程度上避免邮箱的帐号密码被盗后,攻击者直接入侵邮件系统或企业内网。但如果攻击者进一步使用钓鱼网站或木马程序窃取动态口令,则仍有可能突破双因子认证的防线。
除了动态口令之外,目前还有一些基于数字认证技术或生物识别技术等其他形式的双因子认证技术也正在逐渐的普及开来。
特别需要说明的一点是,对于动态口令,传统的技术实现方案大多需要使用一个单独的硬件电子令牌。虽然电子令牌的体积一般很小,但携带和使用仍然有一定的不便。而目前,已经有一些新型的技术方案可以将电子令牌制作成一个手机上的APP,这样使用起来就相对比较方便。下图是360研发的一套可运行于普通智能手机上的动态口令APP界面截图。
2) 弱密码检测
如前所述,弱密码是企业邮箱被盗号的最主要原因。所以,企业邮箱系统应具备弱密码检测功能,并对员工邮箱进行强制检测,并通过技术规则强制员工邮箱密码满足如下要求:
初始密码只能用于初次登陆,之后必须强制修改密码;
密码长度大于15位;
密码包括数字、字母和特殊符号;
密码中不能包括姓名拼音或姓名拼音缩写,也不能包括生日的各种数字组合;
使用弱密码库和暴力破解方式对员工邮箱密码进行碰撞,限定时间内破解成功,则强制员工修改密码。
3) 周期性强制改密
密码定期强制更换,建议周期为3个月或6个月,更换后的新密码也要进行弱密码检测。
4) 垃圾邮件阻断
当有企业邮箱被用于发送垃圾邮件时,系统应具备检测发现和阻断发送的功能,并能向用户及管理员发送邮箱异常预警。这种对垃圾邮件的阻断,既是对攻击者的一种防范,同时也是对邮件系统的保护,以免邮件系统IP被其他邮件系统列入黑名单。
5) 异常登录监测
邮件系统应对每一个用户的日常使用行为进行特征分析,并对异常登录行为进行预警和阻拦,包括短时间内跨地域登录,频繁异地登录,短时连续密码错误等。
6) 反钓鱼引擎
邮件系统应具备反钓鱼引擎,能够对邮件中的钓鱼网址,特别是专门用于盗号的钓鱼网址具备较强的识别能力,并且系统应具有足够大的恶意网址库和足够快的恶意网址更新能力,从而能够更加有效的实时拦截钓鱼邮件。
7) 反病毒引擎
邮件系统应具备恶意程序扫描引擎,并且恶意样本库应足够大,且更新速度足够快,如此才能有效的识别邮件中携带的盗号木马程序。不仅如此,从前一章中还可以看出,反病毒引擎还可以在更多的层面保护邮件系统,及邮箱使用者的安全。
二、员工教育
当然,不是所有的问题都能够通过技术手段解决,特别是当邮件系统的监控能力被局限在内网环境中的时候,如果不进行有效的员工教育,难免出现各种不可预期的问题。特别是在盗号攻击方面,需要做好以下几方面的员工教育。
1) 企业邮箱密码必须单独设置,不能与任何其他第三方网站或应用使用相同的密码。
制定这样的规范主要是为了防止企业邮箱被撞库。因为当第三方网站被黑客攻破,用户的登录密码被泄漏时,黑客就有可能用已经窃取的密码来尝试登录企业用户的邮箱,从而实现对企业内部网络的入侵。
2) 不用企业邮箱注册第三方网站或应用。
很多网站或应用的注册环节都会使用电子邮箱,而一旦这些第三方网站或应用的后台系统被攻破,就可能造成企业用户邮箱地址的泄漏,这就为垃圾邮件和钓鱼邮件的攻击提供了标靶。事实上,使用企业邮箱注册第三方应用或服务,正是企业邮箱被大量曝光的主要原因。
如果用户在第三方网站或应用上使用的密码与企业邮箱密码相同,则攻击者便可一次性窃取到完整的企业邮箱地址和密码,危害极大。
三.综合管理
除了技术手段和员工教育外,邮箱帐号的安全性还与企业的内部管理关系密切。例如员工离职、工作调动、一人多账户等因素,都有可能造成邮件帐号管理与监控的疏漏。如果邮件系统长期存在当销号未销号,当变更未变更,闲置邮箱数量庞大的情况,那么该企业的邮件系统,甚至是企业的内部网络都将处于极其脆弱和极其危险的环境。
(推广)