设为首页 - 加入收藏 ASP站长网(Aspzz.Cn)- 科技、建站、经验、云计算、5G、大数据,站长网!
热搜: 手机 公司 数据
当前位置: 首页 > 服务器 > 安全 > 正文

邮件账号需要好邮件系统守护

发布时间:2017-01-07 12:21 所属栏目:53 来源:站长之家用户
导读:盗号攻击,是企业邮箱用户经常遭遇的一类网络攻击。根据Coremail论客与360的联合监控分析显示,2016年1-10月,国内企业邮箱用户平均每天遭遇疑似盗号攻击事件约1.0万件,全年预计总量约为365万件。 邮箱发生的很多种异常现象都与盗号有关。而黑客盗取企业

盗号攻击,是企业邮箱用户经常遭遇的一类网络攻击。根据Coremail论客与360的联合监控分析显示,2016年1-10月,国内企业邮箱用户平均每天遭遇疑似盗号攻击事件约1.0万件,全年预计总量约为365万件。

邮箱发生的很多种异常现象都与盗号有关。而黑客盗取企业用户邮箱帐号的方法其实有很多种,如果不能正确的应对盗号攻击,企业就会面临员工邮箱频繁被盗,修改密码后再次被盗的情况。企业邮箱被盗号之后的外在表象有很多种。下面逐一进行介绍。

(一) 密码被篡改

密码被篡改,是最为明显的邮箱帐号被盗现象。不过,通常情况下,对于经常被使用的企业邮箱账户,攻击者一旦篡改密码,就会很快被原使用者发现,并且邮箱的原使用者一旦成功重置了密码,那么攻击者一般也就无法继续使用这个邮箱了。所以,绝大多数的邮箱攻击者通常不会轻易修改企业邮箱原有的密码。

不过也有一些例外的情况。因为,如果企业用户将邮箱与某些支付账户、游戏账户或苹果设备等相绑定,那么攻击者一旦盗号成功,很有可能就会修改邮箱密码,目的是窃取与邮箱绑定的实际财富或虚拟财富。

下面两张图就是我们接到的企业邮箱用户举报的,由于密码被篡改导致的邮箱无法正常登录的截图。左图是来自山东某高校的用户举报,右图是来自某电信运营商用户的举报。

(二) 发送垃圾邮件及引发次生灾害

当邮箱在用户不知情的情况下突然发出大量垃圾邮件,那么一定是该邮箱帐号被盗了。下图是某企业用户邮箱被盗后,大量对外发送代开发票垃圾邮件的用户界面截图。

下面两图分别是某企业用户邮箱被盗后,大量对外发送色情服务垃圾邮件的用户界面截图。

下图是我们近期截获的某公司用户邮箱被盗后,向外发出的推广赌博信息的垃圾邮件。

企业邮箱被盗用发送垃圾邮件,不仅会危及其他邮箱的用户,同时,由垃圾邮件引发的“次生灾害”也会直接危及该企业自身的邮件服务。当用户遇到这些次生灾害时,一般也就意味着其邮箱账户被盗了。

1) 邮箱无故收到大量退信

垃圾邮件一旦被其他邮件系统拦截或拒绝,该用户的邮箱就会突然收到大量的退信。下面两图分别是某个企业用户邮箱由于被盗后发送大量垃圾邮件而导致突然收到的大量退信的截图。

2) 被盗邮箱,乃至整个企业的所有邮箱都无法对外发送邮件

一旦其他邮箱系统发现了某个邮件服务器在大规模的发送垃圾邮件,就会拉黑该邮件服务器的IP,使得由该服务器发出的该企业的所有邮件都被其他邮件系统拒绝,结果就是该公司所有员工都无法对外发送邮件。

下面给出两个由于发送垃圾邮件,邮箱帐号被系统查封的相关提示信息截图。

3) 即便修改密码,邮箱仍然大量对外发送垃圾邮件

造成这种情况的原因有很多种。其中最常见的三种原因是:一、邮箱设置被改动;二、邮箱设置了其他登录认证方式;三、用户电脑感染了病毒。

首先来看邮箱设置被改动的问题。

最为简单的一种连续盗号方式就是攻击者给邮箱设置一些密码找回问题,这样即便用户修改了密码,攻击者仍然可以轻易的找回这些密码,之后继续用该邮箱发送垃圾邮件。

还有一种通过修改邮箱设置用于发送垃圾邮件的方法更为高明,使得攻击者即便不登录受害者邮箱,也能持续对外发送垃圾邮件。如果受害者不明其中机巧,那么无论怎么修改密码或密码找回问题,都无法阻止垃圾邮件的发出。这种巧妙的修改方法就是:给邮箱设置批量的自动转发,并且将某个攻击者指定的邮箱设置为信任邮箱,无条件转发该邮箱发来的所有内容。如此一来,攻击者只要向受害者的邮箱发信,该邮箱就会自动的把攻击者发来的垃圾邮件群发给预先设定好的所有转发对象,而攻击者则无需长期掌握受害者的邮箱密码。下图就是一个邮箱系统的自动转发设置界面截图。

再来看邮箱设置其他登录认证方式的问题。

如果我们假定用户只能在邮箱登录系统中输入帐号和密码进行登录,那么修改了账户密码后,在确保不会再次被盗号的情况下,理论上说攻击者就无法再次登录了。但问题在于,很多企业为了方便办公,会为邮箱设置其他的登录认证方式。

例如:在某些企业的网络系统中,员工使用内部账号或域帐号登录办公网后,系统就会默认该员工邮箱也同时登录成功,而不再进行邮箱密码的验证。如果员工登录办公网的密码没有被强制与邮箱密码同步修改,那么么攻击者就有可能凭借对内部账号或域帐号的登录控制,绕过修改后的邮箱密码,直接操作邮箱系统。

通过我们对企业邮箱安全事件的监测显示,类似问题在企业用户中实际上经常发生。

(三) 内外邮件欺诈

对于攻击者来说,盗取企业邮箱的另外一个重要作用,就是用来对该企业的更多邮箱用户实施欺诈,以盗取该企业更多用户的邮箱。特别值得注意的是:对于安全意识较强的用户来说,比对邮箱后缀是最重要的防骗手段之一;但如果攻击者是使用企业内部邮箱欺诈内部员工,可信度和成功率都会大幅提高。

下图是我们2016年7月截获的某航空公司员工邮箱被盗后,向整个公司发出的一份冒充管理员身份OA钓鱼邮件。

事实上,即便是用一个企业的邮箱对另外一个企业的邮箱发送这种诈骗邮件,同样具有一定的迷惑性,如果后缀是edu、org或gov等时,收件人对邮件的信任度也会明显提高。下图是我们2016年9月截获的某组织机构邮箱被盗后,向某教育机构发送钓鱼邮件截图。

还有个别胆大妄为的攻击者,会直接使用内部邮箱,冒充管理员,给企业内部的各个下设管理机构或邮件组发送此类钓鱼欺诈邮件。一旦企业中某个下设的管理机构中招,将直接威胁内网系统中最敏感的信息资料安全。

(编辑:ASP站长网)

网友评论
推荐文章
    热点阅读