钓鱼邮件里的发票链接,又双叒中招了?

 邮箱网  0条评论  3451次浏览  2021年07月23日 星期五 18:52

分享到: 更多
邮箱网讯 7月23日消息 Coremail 邮件安全团队近期发现,利用发票主题的钓鱼邮件攻击有所增加,为更好地保障企业的邮件安全,Coremail 自今年 4 月份起发起恶意样本提交激励计划。

以下是活动 Coremail 邮件安全在活动中收到的高危举报案例,以此分享作为提醒。

一、恶意钓鱼邮件样本分析

7 月初,Coremail 邮件安全团队接到某大型国有钢铁集团客户的举报,称遭到了钓鱼邮件攻击。

此次举报正是某大型国有钢铁集团客户通过 cac-team 邮箱进行转发举报而来,十分具有参考价值。</p><p>Coremail 邮件安全团队经过专项排查后,目前此类钓鱼邮件设计精度相比以前的粗陋提升了很多,怀疑是针对性攻击,于是迅速排查帮助客户解决了该潜在风险事件。</p><p>粗略来看,此封邮件是通知客户下载电子发票的通知性系统邮件,文本特征无异常,而 X 丰快递公司确实与该国有钢铁集团存在大量业务往来。

某大型国有钢铁集团收到的钓鱼邮件但点击 " 下载电子发票 " 后,页面跳转到另外的网页上,Coremail 邮件安全团队立刻判断出此为钓鱼网站,它具备以下 4 个高危特征。

链接跳转的钓鱼网站
1、页面风格设计仿冒 X 丰公司官网,点击蓝线圈出部分可跳转至该快递公司官网,辨识难度大。
2、电子邮件账号固定无法更改,且不具备 " 忘记密码功能 ",不符合正常的账号登录页面。
3、点击橙线圈出的 " 运单跟踪 "、" 快速登录 / 注册 ",页面无响应,不符合正常网页的常规功能。
4、网页地址虽然使用 HTTPS 协议,安全性较高,但是百度未收录,不符合正规官网特征.

二、溯源回顾钓鱼攻击

经回溯分析,Coremail 邮件安全发现攻击者最早在 6 月 18 日已发起了第一轮钓鱼邮件攻击。由于钓鱼特征明显,被 CAC 云安全中心的反垃圾检测识别为钓鱼邮件并拦截。

攻击者在第一次被拦截后,再次精心策划,通过伪造发信人,伪造了 X 丰快递公司的邮箱,并对邮件内容进行了 " 升级 ",试图避开 CAC 识别检测,再次发送主题为电子发票下载的钓鱼邮件。

这一次,攻击者成功了,成功发送后,攻击者显得十分谨慎周密,8 天时间内仅发送 17 封钓鱼邮件。

目前,CAC 云安全中心已将相关情况告知该集团的管理员。

同时,我们也已将邮件的相关特征更新到云端特征库,后续我们会提升对此类邮件威胁的识别能力,加强对此类主题邮件的检测。

三、意见与建议
2021 年 1 月 -2021 年 7 月期间,CAC 云安全中心检测到的威胁邮件数量激增,而钓鱼邮件又因为其主题种类多,话术更新快,识别难度高等特点频频成为攻击者的首选攻击方式。一旦成功诱导收件人将账号、口令等机密信息回复给指定的接受者或引导收件人连接到特制的网页,输入攻击者想要的机密信息,被攻击的个人或企业将受到极大的经济利益损失。

因此,Coremail 安全团队再次提醒,如遇到钓鱼邮件,可参考以下建议。
1、对邮件进行事后删除,并提醒域内用户不要点击陌生邮件中的附件或链接。
2、仔细甄别邮件跳转的网站,不要轻易输入账号与密码。
3、如再次收到类似的钓鱼威胁邮件,可及时反馈至 cac-team@coremail.cn
4、如需加强域内员工的安全意识,可 Coremail 反钓鱼演练提升员工邮件安全意识.


标签:Coremail邮件钓鱼

我的评论:

请  后发表评论。