一、“钓鱼邮件”的基本概念
“钓鱼邮件”是一种特殊的垃圾邮件,一般是攻击者伪装成系统管理员、单位领导、合作伙伴、银行、政府部门等权威或用户信任的发件人,给用户邮箱发送电子邮件,诱导用户通过邮件中的链接、二维码、附件打开钓鱼网站,诱使用户输入邮箱或银行卡密码,进而窃取用户敏感数据、邮箱密码、银行密码等信息,或诱导用户直接给对方银行账号转账。
二、钓鱼邮件分类
1.链接钓鱼
这类邮件的风险在于邮件中的网页链接,此链接往往是攻击者伪造的邮箱登录页面,诱导用户输入邮箱账号密码以盗用用户的邮箱;也可能是伪造的政府或银行等机构的网站,要求用户输入姓名、身份证号、银行卡号、银行卡密码等信息,从而盗取用户的银行账号;另一种链接指向网页暗藏木马程序,如果用户浏览器存在未修复的漏洞,那么点开即中招。
2.二维码钓鱼
邮件中不直接放过于明显、容易识别的网页链接,而是通过内含的二维码,引导用户扫描进入钓鱼网站。类似链接钓鱼网站,用户扫描二维码打开的网站往往会要求用户输入邮箱密码或银行卡密码以获取用户敏感信息。二维码也可能指向植入了病毒的App或者附件,并要求用户下载。
3.附件钓鱼
这类邮件的风险在于邮件附件,附件类型主要是shtml、html网页、带有木马病毒的可执行文件、压缩包,也可能是Office文件、PDF等。用户双击附件文件时,附件文件中的脚本、宏或者客户端软件CVE漏洞会自动执行,从而打开钓鱼网站或者给用户的电脑注入木马或病毒。
4.欺诈邮件
通过虚构的邮件内容欺诈用户,诱导用户给指定账号转账。常见的情况有:
(1)邮件发送者声称自己是黑客,入侵了用户的电脑,要求用户使用比特币转账,否则将对用户电脑和隐私进行侵害;
(2)冒充政府部门,要求用户加QQ群或微信群,以进一步进行欺诈;
(3)发送者声称自己有遗产继承资格或资金获取渠道,但需找人付手续费等,答应与用户分享这笔遗产或资金;
(4)声称用户可参加培训或会议,要求用户汇款培训费、会议费。
5.APT攻击
这类邮件通常不存在链接、二维码或恶意附件,而是伪造身份,通过多次邮件来往获取信任后实施进一步欺骗。常见的情况有:通过某些手段获取用户与合作伙伴的历史邮件后,伪造带有历史邮件内容的回信,冒充合作伙伴与用户进行邮件对话,并在邮件中要求转账,从而实施诈骗。
三、钓鱼邮件识别方法
1. 查看完整的发件人邮箱地址
邮件的发件人地址中往往包含发件人的姓名或身份,此处的姓名和身份一般是发件人自己声明的,不能完全相信。对于可疑邮件(含网页链接、二维码、附件,涉及财务的)需查看完整的发件人邮箱地址。如果发件人邮箱地址是陌生的,或者邮箱地址与发件人声明的身份不一致,则是钓鱼邮件。
2. 查看完整的链接URL地址
如果邮件中的链接URL地址不常见,比如过长、无含义的随机字符串、大量的数字、不常见的域名(.top\.cool\.website)、带有收件人的邮件地址等,则很可能是钓鱼邮件。
3. 查看完整的文件名,尤其注意文件的后缀
对于附件文件不仅要看文件名,还要注意文件后缀。如有的钓鱼邮件,地址部分声明的身份是“51云发票平台”,但邮箱地址却是http://outlook.com,http://outlook.com是微软面向个人邮件服务,一般情况下,正规平台不会用个人邮箱来发信。此外,文中链接是一个压缩包,而压缩包里是.exe文件,后缀名为“exe”的文件为可执行文件,很可能是木马或病毒。
4. Windows系统查看文件后缀的方法
在Windows系统中文件的后缀往往默认是不显示的,建议改为默认显示文件后缀。设置方法:打开“我的电脑”,点击文件资源管理器的“文件”-“更新文件夹和搜索选项”按钮:
打开“文件夹选项”对话框,将“查看”-“隐藏已知文件类型的扩展名”去掉勾选。
5. 异常特征:发件人邮箱地址和声明的身份不一致
发件人中的姓名字段声明是管理员或同事等,但实际邮件地址为外部地址,一般都是钓鱼邮件。
6. 异常特征:发件人邮箱地址域名和链接地址域名不一致
对于带有链接的邮件,发件人邮箱地址的域名和链接URL地址的域名不一致的,一般都是钓鱼邮件。尤其是打开链接页面后要求输入邮箱密码的,更应格外警惕。
如发件人声明是“系统管理员”,但邮箱真实地址为外部地址,且发件人地址的域名和邮件中链接的域名不一致。
7. 异常特征:号称是政府部门的邮件,但邮箱地址为国外个人邮箱
政府部门发来的正式邮件不会使用outlook等个人邮箱,而且一般不会通过QQ群的方式来向企业传达比较重要事情,更不会只通过邮件来下最后通牒(“逾期视为送达”)。
8. 异常特征:号称是政府部门的邮件,但邮箱地址为随机编造
9. 异常特征:邮箱地址为中国.cn域名,邮件文字为外文
例如发件人邮箱地址是.cn表示中国域名,邮件文字却是日文。
10. 异常特征:来自.tw、.hk、.jp域名的陌生地址邮件
邮箱地址中的最后一个字段为域名,.tw代表台湾,.hk代表香港,.jp代表日本。如果没有台湾、香港、日本等地的业务,收到邮件的邮箱地址域名为.tw、.hk、.jp等,且为陌生地址,则基本能判定为钓鱼邮件。
11. 异常特征:.top\.xyz \.cool\.website \.one等不常见域名
钓鱼邮件的发件地址往往是来自.top、.xyz、.one等不常见域名。如果是不常见域的陌生地址发来的邮件一般是垃圾邮件或钓鱼邮件。
12. 异常特征:主题、正文措辞泛化或生硬
对使用“亲爱的用户”、“亲爱的同事”等一些泛化问候的邮件应保持警惕。同时也要对任何制造紧急气氛的邮件提高警惕,如要求“请务必今日下班前完成”,这是令人慌忙中犯错的手段之一。
13. 异常特征:打开附件后要求输入邮箱密码
14. 异常特征:主题或正文中繁体字和简体字混合
钓鱼邮件的发件人地址经常会进行伪造,比如伪造成本单位域名的邮箱账号或者系统管理员账号。对于发件人显示的是本单位域名的邮箱账号,要注意声明的身份,以及邮件的其他内容。
15. 异常特征:发件人地址的姓名字段不是发件人的身份
企业内部发出的邮件,发件人地址中的姓名字段一般会是真实的人名,少数情况是部门名称,不会将“通知”、“警告”等表示邮件主题的词放到姓名字段。管理员不会以用户无法确定的邮箱地址给用户发送重要通知邮件。
四、如何防范钓鱼邮件
只要安全防护措施到位,即使遭遇钓鱼邮件也可泰然处之。如果打开的附件带有病毒,只要系统安装了防病毒工具,并且保持更新到最新版本,系统会自动隔离该附件避免遭受恶意利用。
1. 杀毒软件要安装
安装杀毒软件并定期更新病毒库,开启杀毒软件对邮件附件的扫描功能。同时定期下载和安装系统和软件的最新版本。
2. 登录口令要保密
确保不向任何人主动或轻易泄露邮箱的密码信息,不将登录口令贴在办公桌或者易于被发现的记事本上。办公邮箱的密码要足够复杂,并定期更换。
3. 邮箱账号要绑定手机
将邮箱帐号与个人手机号码绑定,不仅可以找回密码,也可接收“异地登录提醒”信息。
4. 登录邮箱尽量使用多因素认证
多因素认证是防范邮箱账号被盗用的最有效技术手段,攻击者即使通过猜测、暴力破解等手段获取了用户的邮箱密码,没有其他的身份认证信息,仍然无法盗用用户邮箱。
5. 不要对陌生人的邮件进行响应
陌生人发来的邮件,不要进行回复,不要点击邮件中的链接(包括“退订”等),不要加QQ群,也不要拨打邮件中的电话或手机号码,这些操作会告诉发件人当前邮箱地址是有效的,容易遭到发件人进一步的攻击。很多垃圾邮件正文中的“退订”按钮都是虚假的,点击后只会收到更多的垃圾邮件。
6. 重要邮件及时归档
及时清空邮箱内不再使用的重要邮件;归档备份重要邮件,防止被攻击后邮件丢失。
五、“五个凡是、一个确认”
(1) 凡是要求点击链接或者扫描二维码的,都需要警惕。
(2) 凡是点击链接或者扫码后,打开的网页要求输入邮箱密码或银行账号交易密码的基本都是钓鱼邮件。切记不要输入银行密码、不要输入邮箱密码。
(3) 凡是陌生人要求转账的一律不转。
(4) 凡是陌生人发来的邮件中带有附件的,不要双击打开邮件附件;如需打开附件要先杀毒,然后从相应的软件中找到文件打开。
(5) 凡是打开附件后,自动弹出页面的都是钓鱼邮件,不要输入密码。
(6) 熟人要求转账汇款或者是与银行联系等必须填写个人信息时,一定要通过其他消息途径联系对方确认。
六、案件分析
1. 案例一
最近某知名IT公司受到发自本域邮箱的钓鱼邮件攻击,据悉是内部邮箱账号泄露造成的。攻击者盗取了该公司的某个邮箱账号,并使用该内部账号发送大量钓鱼邮件。大量员工看到是公司内部邮箱发来的邮件,就根据邮件附件中的操作指引扫描二维码,提交银行账号,导致银行卡内的存款被盗,造成了巨大的财务损失。
针对前面提到的发自内部的钓鱼邮件极难通过技术手段检测和防范,位于边界的邮件网关也无法进行拦截。因为邮件本身就是使用真实内部账号发出来的,和人事发出来的正常通知邮件没有区别。最好的预防办法就是避免账号泄露,如果账号没有泄露,那么攻击者必须使用外部域名,不管是从技术上还是人的心理上都容易预防和警惕,不会造成如此重大损的失。
2. 案例二
以下是对近期常见的以“补贴”为诱饵钓鱼的邮件,进行钓鱼过程解析。此种钓鱼邮件一般在正文中或附件中都有个二维码,并通过邮件文字诱导用户扫描此二维码:
扫码后,用户会打开钓鱼页面:
此页面中其他信息均为真实,链接也是正常链接,只看内容很难分辨,需要查看该页面的真实URL地址进行辨别。此网页中只有“补贴通知”是假的,打开后会跳转到钓鱼页面,诱导用户输入银行卡号、姓名、身份证号、银行卡交易密码、手机号、卡内余额等个人信息:
