MailSec Lab 电子邮件安全
1. 事件描述
2022年2月7日晚间,微博爆料某知名互联网公司的全体员工收到钓鱼邮件,“多位同事中招,受骗金额总计8万左右。从5日凌晨2点到下午1点IT才把钓鱼邮件删除完。内部没有发全员邮件告知,导致不断有人受骗。在员工接连受骗的情况下没有第一时间通知全员。全员邮件也不发一个,一分钱赔偿也没有。”
而从该微博内容附件的图片显示,受害员工成立了“钓鱼邮件受害者”群,目前群内有72人,有受骗员工咨询相关部门HR得到的回复是,建议同事自行报警。群内部分员工认为,“从企业邮箱发出来的邮件导致员工受骗,难道企业不应该承担后续责任吗?”更有员工称“钱我没追回来,但是做做样子报案,说点啥也好呀。”、“但公司一点责任都不想付。”
北京网际思安科技有限公司麦赛安全实验室(MailSec Lab)研究人员对该钓鱼邮件事件做了技术性的推演与分析,并在事前教育、事中防护、事后溯源等多方面给出了防范类似钓鱼邮件攻击的专业技术建议。
2. 关于钓鱼邮件
什么是钓鱼邮件?
钓鱼邮件是属于社会工程攻击的一种,通常用于窃取用户数据,例如登录信息、信用卡号码等。攻击者通常会伪装成受信任的实体,欺骗受害者打开电子邮件,并诱骗受害者点击恶意链接,从而在受害者计算机上安装恶意软件、盗窃受害者敏感数据等。
钓鱼邮件事件的“全生命周期保护”概念
根据2021年行业报告,84%的企业受到网络钓鱼攻击。如何应对日益增长的钓鱼邮件攻击?网际思安麦赛实验室研究员认为,企业应该如下图所示做到钓鱼事件的全生命周期保护。
图片1. 钓鱼事件的全生命周期保护
3. 技术分析与建议
首先,事前教育。
在事前应该加强对员工的钓鱼邮件防范意识的教育。可通过“邮件安全社交工程演练”技术定期进行模拟钓鱼邮件测试,并结合测试结果进行培训的方式,来提升员工识别钓鱼邮件的能力,帮助企业打造隐形安全屏障。
例如,在该知名互联网公司的员工如果能提高意识,对该封钓鱼邮件包含的下列字段提高警觉和辨别能力的话,可大大减少企业和个人损失。
其次,事中保护。
在事中应该“传统静态”和“高级动态”防护技术相结合的方式来提高垃圾邮件的识别率。当前钓鱼邮件的攻击方式不断进化,越来越多种多样,如果仅仅采用传统的基于IP地址、域名和HASH值的静态邮件安全防护技术,很难跟上钓鱼邮件攻击的发展。在未来,采用能对可疑行为进行动态跟踪和深层次关联分析的高级动态防护技术将极大的提升对垃圾邮件的检测准确率。
例如,网际思安的“MailSec-钓鱼沙箱”技术,可为每次的URL访问构建一次性的“远程浏览器”容器运行环境,所有邮件链接隔离安全访问,即使是恶意链接,也远离用户终端执行而不会被执行;此外,“MailSec-病毒沙箱”技术,可在沙箱内,动态模拟打开邮件,并对邮件内的链接和附件进行访问和动态跟踪,从而发现可疑行为。
图片2. MailSec-钓鱼沙箱
与此同时,根据互联网上的信息,很可能该知名网络公司的某个员工邮箱被盗,导致黑客通过该员工邮箱向全员发送了伪造邮件。因此通过“邮件安全”技术对企业员工邮箱进行保护也是必不可少,防止黑客通过暴力破解获得邮箱密码,并可通过QOS限速,避免邮箱被盗后用于外发垃圾邮件。
最后,事后追溯。
百密难有一失。当面临来自外网的无限攻击时,IT管理员必须做好事后追溯和取证工作,“邮件归档”技术可帮助企业对所有员工邮件进行备份,并提供实时查询,从而为事后的司法追责提供强有力的支撑。与此同时,“诈骗邮件检测分析”技术采用机器学习、全球特征库和庞大的样本库对企业归档邮件进行统一关联分析,从而精准的发现可疑邮件,并及时通知IT管理员,从而弥补了在事中实时检测中的不足。
关于MailSec Lab