邮件是我们日常工作中进行交流、获取工作信息或文件的重要通道,凡是知道你邮箱的人都可以给你发邮件,因此这个通道很早就被不良企图者盯上,用于实施一些恶意行为。邮件是日常工作和黑客攻击的重要入口,已经成为网络安全行业的共识。那么,我们日常可能会接触到哪些恶意邮件呢?如何防范恶意邮件呢?本期推文结合真实案例,列举常见的恶意邮件类型并给出一些简单实用的建议,供大家日常参考。
案例:2021年5月18日20:58我校如皋市某老师QQ账号被网络不法分子盗取,部分老师收到了主题为【江开新平台教学群】的恶意邮件,点开邮件里的钓鱼链接后账号被盗,不法分子继续在QQ群里重复发送恶意邮件。
网络不法分子首先通过黑客技术盗取群里某一位老师的账号密码,由此获得这位老师的邮箱的操作权限,根据这位老师的过往邮件内容,进行身份伪造,骗取各位老师的信任。再将该老师的邮箱作为跳板对外发送含有钓鱼链接的邮件,不明所以的邮件接收方点击群里的钓鱼链接,最终达到恶意传播和敲诈勒索的目的。
案例分析:从发件人角度来看,恶意邮件一般有两种:伪造身份邮件和陌生人邮件。
1.伪造身份邮件
伪造身份邮件一般是从发件人名称、邮箱地址、正文和签名这些方面伪造成你熟悉的角色,比如工作单位名称、领导、IT管理员、某银行等,不明真相的群众看到这些发件人就会误认为是工作需求,立即按照邮件指示进行操作,然后回头冷静时一想才发现中招了。
这类邮件里其实正文写的什么,写的像不像真的无关紧要,主要靠冒充发件人行骗。由于邮件服务器传送邮件的原理限制,你的邮件服务器接收到其他邮件服务器传过来的邮件时,如果不做特殊配置,就无法验证邮件中写的发件人邮箱是真是假,伪造者可以随意编写发件人邮箱地址,发件人名称更是可以随意编造了。
2.陌生人邮件
陌生人邮件要进行攻击是有难度的,因为大家看到陌生人的邮件本来就会提高警惕,认真谨慎操作,这类邮件就必须编造得非常有吸引力,设计一些让人眼睛一亮的内容来诱使你按指示操作,比如“我捡到你手机了”“这是你的发票”“这儿有你的照片”等等。
从恶意行为的角度来看,恶意邮件可以分四种:骗回复敏感信息、骗打开钓鱼页面链接、骗点击挂马页面链接、骗打开带毒附件。
3.骗回复敏感信息
这种邮件就是在发件人名称、语气、正文和签名处伪造身份,冒充公司领导、IT部门或一些政府、银行等机构,直接索要通讯录、密码、转账等,从性质上来说跟钓鱼有点类似,但由于索要信息更直接,缺少伪造页面,就更容易被识别。
4.骗点击挂马页面链接
一般通过QQ邮箱的附件框,其实是发件人截取的真实附件框的一个图片,然后将这个图片加了个超链接,指向挂马网站。
5.骗打开钓鱼页面链接
顾名思义,钓鱼首先要有鱼饵,鱼饵后面藏着鱼钩。鱼饵一定要香,要诱人。钓鱼页面就要做得像真正网站页面一样,才会有人相信。钓鱼者肯定是先研究了真正网站的登录页面,然后做出一个一模一样的页面,诱使他人输入用户名和密码,登陆后就传入钓鱼者的数据库。但是,页面的域名是很难作假的,除非你的DNS也被劫持了,但一般邮件钓鱼不会利用DNS劫持的方法,这样效率和难度会大大提高,失去了群发钓鱼邮件的意义。所以看清楚登录页面的域名是关键。
6.骗打开带毒附件
以往都是直接挂一些伪装成图片的exe后缀的恶意可执行文件或者带宏病毒的office文档,近年来邮件客户端都对直接挂的这类文件做了限制,office也默认不执行宏命令,附件病毒得到了一些遏制。不过近年来又有新的招数,典型附件病毒勒索软件。这个病毒从我所收到的样本来看一般都是英文邮件说附件有发票诱使你打开看,附件是个压缩包,里面有伪装TXT后缀的JS文件。JS文件也是一类双击后可自己执行任意命令的文件。
如何预防:
1.密码复杂度很重要,只要密码不被网络不法分子获取,账号一般是安全的。所以设置账号的密码复杂度很重要,建议账号密码使用大小写字母、数字、特殊字符组合。
2.当你收到一封邮件,先不管是正常邮件还是恶意邮件,如果是领导、IT管理员、银行等突然给你发邮件问你要敏感信息,电话或短信确认此事。在校园网内的通知及文件流转,也可以使用OA内的协同,更为方便安全。
3.我们在上网时千万不要打开不明链接,即使是熟人发来的信件,若内容存疑,也须考虑对方盗号可能,最好联系确认后再打开。
4.上网时如有弹出中奖网页需要输入自己信息的,一定不要贪图小便宜,否则因小失大。
5.在访问网站时,最好选择官方网站,不要使用非法的网站及网页。
6.网页上的广告不要随意点。
7.邮件内容异常的链接请不要点击,点击后容易导致qq号被盗。
8.如非必要,请启用拒收群邮件功能。
9.非正常工作邮件及附件,请不要点击和下载。
