盗号攻击,是企业邮箱用户经常遭遇的一类网络攻击。根据Coremail论客与360的联合监控分析显示,2016年1-10月,国内企业邮箱用户平均每天遭遇疑似盗号攻击事件约1.0万件,全年预计总量约为365万件。
邮箱发生的很多种异常现象都与盗号有关。而黑客盗取企业用户邮箱帐号的方法其实有很多种,如果不能正确的应对盗号攻击,企业就会面临员工邮箱频繁被盗,修改密码后再次被盗的情况。企业邮箱被盗号之后的外在表象有很多种。下面逐一进行介绍。
(一) 密码被篡改
密码被篡改,是最为明显的邮箱帐号被盗现象。不过,通常情况下,对于经常被使用的企业邮箱账户,攻击者一旦篡改密码,就会很快被原使用者发现,并且邮箱的原使用者一旦成功重置了密码,那么攻击者一般也就无法继续使用这个邮箱了。所以,绝大多数的邮箱攻击者通常不会轻易修改企业邮箱原有的密码。
不过也有一些例外的情况。因为,如果企业用户将邮箱与某些支付账户、游戏账户或苹果设备等相绑定,那么攻击者一旦盗号成功,很有可能就会修改邮箱密码,目的是窃取与邮箱绑定的实际财富或虚拟财富。
下面两张图就是我们接到的企业邮箱用户举报的,由于密码被篡改导致的邮箱无法正常登录的截图。左图是来自山东某高校的用户举报,右图是来自某电信运营商用户的举报。
(二) 发送垃圾邮件及引发次生灾害
当邮箱在用户不知情的情况下突然发出大量垃圾邮件,那么一定是该邮箱帐号被盗了。下图是某企业用户邮箱被盗后,大量对外发送代开发票垃圾邮件的用户界面截图。
下面两图分别是某企业用户邮箱被盗后,大量对外发送色情服务垃圾邮件的用户界面截图。
下图是我们近期截获的某公司用户邮箱被盗后,向外发出的推广赌博信息的垃圾邮件。
企业邮箱被盗用发送垃圾邮件,不仅会危及其他邮箱的用户,同时,由垃圾邮件引发的“次生灾害”也会直接危及该企业自身的邮件服务。当用户遇到这些次生灾害时,一般也就意味着其邮箱账户被盗了。
1) 邮箱无故收到大量退信
垃圾邮件一旦被其他邮件系统拦截或拒绝,该用户的邮箱就会突然收到大量的退信。下面两图分别是某个企业用户邮箱由于被盗后发送大量垃圾邮件而导致突然收到的大量退信的截图。
2) 被盗邮箱,乃至整个企业的所有邮箱都无法对外发送邮件
一旦其他邮箱系统发现了某个邮件服务器在大规模的发送垃圾邮件,就会拉黑该邮件服务器的IP,使得由该服务器发出的该企业的所有邮件都被其他邮件系统拒绝,结果就是该公司所有员工都无法对外发送邮件。
下面给出两个由于发送垃圾邮件,邮箱帐号被系统查封的相关提示信息截图。
3) 即便修改密码,邮箱仍然大量对外发送垃圾邮件
造成这种情况的原因有很多种。其中最常见的三种原因是:一、邮箱设置被改动;二、邮箱设置了其他登录认证方式;三、用户电脑感染了病毒。
首先来看邮箱设置被改动的问题。
最为简单的一种连续盗号方式就是攻击者给邮箱设置一些密码找回问题,这样即便用户修改了密码,攻击者仍然可以轻易的找回这些密码,之后继续用该邮箱发送垃圾邮件。
还有一种通过修改邮箱设置用于发送垃圾邮件的方法更为高明,使得攻击者即便不登录受害者邮箱,也能持续对外发送垃圾邮件。如果受害者不明其中机巧,那么无论怎么修改密码或密码找回问题,都无法阻止垃圾邮件的发出。这种巧妙的修改方法就是:给邮箱设置批量的自动转发,并且将某个攻击者指定的邮箱设置为信任邮箱,无条件转发该邮箱发来的所有内容。如此一来,攻击者只要向受害者的邮箱发信,该邮箱就会自动的把攻击者发来的垃圾邮件群发给预先设定好的所有转发对象,而攻击者则无需长期掌握受害者的邮箱密码。下图就是一个邮箱系统的自动转发设置界面截图。
再来看邮箱设置其他登录认证方式的问题。
如果我们假定用户只能在邮箱登录系统中输入帐号和密码进行登录,那么修改了账户密码后,在确保不会再次被盗号的情况下,理论上说攻击者就无法再次登录了。但问题在于,很多企业为了方便办公,会为邮箱设置其他的登录认证方式。
例如:在某些企业的网络系统中,员工使用内部账号或域帐号登录办公网后,系统就会默认该员工邮箱也同时登录成功,而不再进行邮箱密码的验证。如果员工登录办公网的密码没有被强制与邮箱密码同步修改,那么么攻击者就有可能凭借对内部账号或域帐号的登录控制,绕过修改后的邮箱密码,直接操作邮箱系统。
通过我们对企业邮箱安全事件的监测显示,类似问题在企业用户中实际上经常发生。
(三) 内外邮件欺诈
对于攻击者来说,盗取企业邮箱的另外一个重要作用,就是用来对该企业的更多邮箱用户实施欺诈,以盗取该企业更多用户的邮箱。特别值得注意的是:对于安全意识较强的用户来说,比对邮箱后缀是最重要的防骗手段之一;但如果攻击者是使用企业内部邮箱欺诈内部员工,可信度和成功率都会大幅提高。
下图是我们2016年7月截获的某航空公司员工邮箱被盗后,向整个公司发出的一份冒充管理员身份OA钓鱼邮件。
事实上,即便是用一个企业的邮箱对另外一个企业的邮箱发送这种诈骗邮件,同样具有一定的迷惑性,如果后缀是edu、org或gov等时,收件人对邮件的信任度也会明显提高。下图是我们2016年9月截获的某组织机构邮箱被盗后,向某教育机构发送钓鱼邮件截图。
还有个别胆大妄为的攻击者,会直接使用内部邮箱,冒充管理员,给企业内部的各个下设管理机构或邮件组发送此类钓鱼欺诈邮件。一旦企业中某个下设的管理机构中招,将直接威胁内网系统中最敏感的信息资料安全。
下图是我们于2016年7月截获的,某个互联网公司被盗邮箱后向该企业各管理机构邮箱发送的OA钓鱼邮件,收件人中不乏IT管理、人力资源、财务管理等高度敏感部门的邮箱。
当然,在某些特殊情况下,被盗的企业邮箱还会被用于更加高档的商业欺诈,如诱骗财务人员汇款,给合作伙伴或客户发送虚假信息等。但这类事件已经接近APT攻击,攻击过程也非常的复杂,本次报告就不进行详细分析了。
(四) 第三方帐号被盗
由于某些网络服务,如游戏、支付、iCloud等,会与电子邮箱进行绑定,而很多犯罪分子在盗取了被绑定的邮箱后,就会利用相关网络服务提供的基于邮箱的密码找回、密码重置等功能盗取其他网络服务的帐号和密码,进而盗取用户的游戏装备,网银资产、网上资料(如照片,视频等)。这种攻击在个人邮箱领域经常发生。但如果企业用户使用公司邮箱注册了这些第三方服务,也会面临相同的攻击。
2016年下半年,频繁被媒体曝光的苹果设备锁屏攻击,实际上就是一种非常典型的邮箱盗号攻击。其攻击原理是:苹果设备的帐号,特备iCloud功能通常是与电子邮箱绑定的;同时,苹果安全中心还为用户提供了一种锁屏防盗功能,即用户的iPhone手机或iPad如果被偷走后,用户可以登录安全中心将设备锁死,使盗窃者设备无法正常使用;而苹果锁屏敲诈,则是犯罪分子反向利用了此项防盗功能,在首先盗取用户邮箱账户后,利用iCloud的邮箱密码找回功能,登录苹果安全中心,之后再把用户的所有与该iCloud帐号绑定的苹果设备锁死,并在通知信息中留下自己的电话或QQ,要求用户支付赎金后为其解锁。
下面两张图是我们在网上找到的一些用户苹果手机遭遇此类锁屏敲诈后开机界面。
客户服务监测显示,尽管如前所述,盗号攻击的技术方法有很多,但盗号并非不可避免。企业邮箱系统只要采用某些基本的技术防护措施和管理方法,实际上就可以非常有效的避免95%以上的邮箱盗号事件发生。下面就对这些基本的技术方法和管理措施进行简要的介绍。
利用技术手段对邮箱安全性进行监测是十分必要的,不能指望员工能很好的执行公司的各项安全规定。从反盗号的角度看,企业用户的邮箱系统除了应当具备一般反垃圾邮件功能外,至少还应具备以下基本安全功能,才有可能在较大程度上阻止盗号攻击:
1) 双因子认证
双因子认证仍然是目前比较容易部署,并且比较安全可靠的一种安全登录认证方法。在邮件系统中,其主要工作方式是在邮箱的帐号和密码之外,生成动态口令,并通过邮件登录系统以外的方式传送给登录者。双因子认证的方法,可以在很大程度上避免邮箱的帐号密码被盗后,攻击者直接入侵邮件系统或企业内网。但如果攻击者进一步使用钓鱼网站或木马程序窃取动态口令,则仍有可能突破双因子认证的防线。
除了动态口令之外,目前还有一些基于数字认证技术或生物识别技术等其他形式的双因子认证技术也正在逐渐的普及开来。
特别需要说明的一点是,对于动态口令,传统的技术实现方案大多需要使用一个单独的硬件电子令牌。虽然电子令牌的体积一般很小,但携带和使用仍然有一定的不便。而目前,已经有一些新型的技术方案可以将电子令牌制作成一个手机上的APP,这样使用起来就相对比较方便。下图是360研发的一套可运行于普通智能手机上的动态口令APP界面截图。
2) 弱密码检测
如前所述,弱密码是企业邮箱被盗号的最主要原因。所以,企业邮箱系统应具备弱密码检测功能,并对员工邮箱进行强制检测,并通过技术规则强制员工邮箱密码满足如下要求:
初始密码只能用于初次登陆,之后必须强制修改密码;
密码长度大于15位;
密码包括数字、字母和特殊符号;
密码中不能包括姓名拼音或姓名拼音缩写,也不能包括生日的各种数字组合;
使用弱密码库和暴力破解方式对员工邮箱密码进行碰撞,限定时间内破解成功,则强制员工修改密码。
3) 周期性强制改密
密码定期强制更换,建议周期为3个月或6个月,更换后的新密码也要进行弱密码检测。
4) 垃圾邮件阻断
当有企业邮箱被用于发送垃圾邮件时,系统应具备检测发现和阻断发送的功能,并能向用户及管理员发送邮箱异常预警。这种对垃圾邮件的阻断,既是对攻击者的一种防范,同时也是对邮件系统的保护,以免邮件系统IP被其他邮件系统列入黑名单。
5) 异常登录监测
邮件系统应对每一个用户的日常使用行为进行特征分析,并对异常登录行为进行预警和阻拦,包括短时间内跨地域登录,频繁异地登录,短时连续密码错误等。
6) 反钓鱼引擎
邮件系统应具备反钓鱼引擎,能够对邮件中的钓鱼网址,特别是专门用于盗号的钓鱼网址具备较强的识别能力,并且系统应具有足够大的恶意网址库和足够快的恶意网址更新能力,从而能够更加有效的实时拦截钓鱼邮件。
7) 反病毒引擎
邮件系统应具备恶意程序扫描引擎,并且恶意样本库应足够大,且更新速度足够快,如此才能有效的识别邮件中携带的盗号木马程序。不仅如此,从前一章中还可以看出,反病毒引擎还可以在更多的层面保护邮件系统,及邮箱使用者的安全。
Coremail论客与360的联合推出360安全邮件系统为了就是防止黑客的侵入。
(举报)