MailSec Lab 电子邮件安全热点分析:加密综合补贴申报类钓鱼邮件(2024.05.20)

2024-05-20 18:25:06 管理员 319



本周(2024年05月13日~17日),北京网际思安科技有限公司麦赛安全实验室(MailSec Lab)观察到大量增加的“加密综合补贴申报文档”类钓鱼邮件,请各单位和企业做好相关的防护。



一、背景介绍


关于此批“加密综合补贴申报文档”类钓鱼邮件的典型样本邮件,如下图所示:


图1. 关于“加密综合补贴申报文档”类的钓鱼邮件



该邮件通过伪造“2024年度劳动综合补贴申报”通知,诱导员工点击并输入密码访问该邮件附件中的钓鱼文档,文档伪造了中华人民共和国人力资源和社会保障部的官方通知,并引诱员工扫描文档中的二维码从而访问钓鱼邮件。




图2. 加密的钓鱼文档内容



当员工扫描文档中的二维码后,将会访问高度仿真的政府机构官方网站。通过该钓鱼网站,攻击者将一步一步引导员工,并获得该员工的个人敏感信息,并利用敏感信息获得收益。




图3. 扫描文档中的二维码后,访问的高仿真钓鱼网站





图4. 点击“立即申报”后,开始搜集敏感个人信息


二、专家分析


MailSec Lab(思安麦赛安全实验室)的专家从源IP、域名、邮件头、附件等方面,对此邮件的风险特征进行了详尽的技术分析。




1-邮件头分析:自动阅读回执字段




X-Confirm-Reading-To和Return-Receipt-To是电子邮件头部的两个可选字段,用于实现阅读回执功能。当发送者希望了解接收者是否已阅读其发送的邮件时,可以在邮件中添加这两个字段。该封样例邮件添加了X-Confirm-Reading-To和Return-Receipt-To两个邮件头字段,并且设置如下:




图5. 自动阅读回执邮件头字段





2-邮件头分析:源IP字段




通过对邮件头字段的分析可知,在该钓鱼邮件到达公司之前,分别先后经过了49.74.117.216和219.134.125.147两跳IP地址。




图6. 邮件头部源IP字段展示




查询覆盖全球的91个RBL数据源,检测结果如下。两个外部IP地址被列入了多达10多个的RBL黑名单。






3-邮件头分析:邮件路由






通过邮件头部的邮件路由相关字段的分析可知,此封样例邮件由visio-pere-noel.com域发出,经过了“中国XX建设集团.com”域的微软Exchange邮件服务器,并经过进一步转发最终到达“被攻击公司.com”域的Postfix邮件服务器。


图7. 邮件头部路由信息展示







对邮件起始的的visio-pere-noel.com域进行Whois信息进行查询。该域名于2020年7月建立,将于2024年7月过期,并且域名服务器位于法国,非我们国内合法注册。


图8. visio-pere-noel.com域的Whois信息



对邮件经过的“中国XX建设集团.com”域进行Whois信息查询,该域名为中国XX建设集团所拥有的域名,为一个集城市基础设施投资及建设、港口投资及物流、产业运营及其它股权投资为一体的跨行业、跨地区、多元化发展的大型现代化企业集团。


基于以上信息,以及邮件经过visio-pere-noel.com域和“中国XX建设集团.com”域的时间只有4秒,MailSec Lab(思安麦赛安全实验室)专家的判断是,中国XX建设集团的微软Exchange邮件服务器错误开启了邮件开放转发功能,支持非自己的公司邮件,通过“中国XX建设集团.com”邮件服务器进行转发。




4:发件人分析




通过邮件头分析可知,为了增加钓鱼邮件的可信度,攻击者故意设置发件人的显示名称为“人力资源部”来增加邮件的可信度。尽管如此,因为邮件是从第三方企业邮箱帐号发送的,因此发件人地址是第三方企业的域名,非收件人公司的域名。如果员工仔细辨认是可以识别出问题的。


图9. 发件人域名为第三方企业的域名





5:邮件附件文档分析






攻击者对文档进行加密的目的通常是为了规避安全检测机制,包括电子邮件系统的垃圾邮件过滤器、杀毒软件和其他安全工具。加密的文档内容不会被这些工具直接分析,因此可能会被允许通过,从而增加收件人打开附件的可能性。在文档内容中包含二维码而不是直接的网站链接的原因,主要是为了增加攻击的隐蔽性和迷惑性,同时规避安全检测。二维码能够隐藏恶意链接,使其不被安全系统和邮件过滤器直接分析,从而提高攻击成功率。此外,二维码的易用性和新颖性,都能降低用户的防备心,使其更容易受到钓鱼攻击。




网际思安邮件安全网关具有智能附件解密功能。该功能支持分析邮件的主题和正文,寻找并识别出加密附件的解密密码。这一功能对于确保邮件系统的安全性至关重要,因为它使得安全网关能够对加密的附件文档进行解密,从而揭示出可能隐藏在其中的安全威胁。通过自动化的解密过程,网关能够有效地解除加密附件的防护,为后续的安全检测和分析打开通道。




在解密文档后,网际思安邮件安全网关进一步利用先进的内容识别技术,对文档中的各种元素进行深入分析。这包括识别和提取文档中的二维码,通过识别二维码来检测潜在的钓鱼链接或其他恶意网址。“思安二维码综合防护体系”,分为四个层次,从下到上对二维码进行全面的识别、检测、过滤、警示、追踪、标识等,从而将恶意二维码拒之千里之外,或是持续追踪发现风险行为。




图10. 思安二维码综合防护体系



同时,思安邮件安全网关还能够识别图片中的文字和文档中的文本信息,这些信息可能包含敏感数据或指示着邮件是否包含恶意内容。通过这种全面的文档内容分析,网关能够更准确地识别出各种安全威胁,为企业提供强有力的邮件安全保障。




图11. 思安视觉识别风险图片


三、总结与攻击溯源



经思安麦赛安全实验室的分析测试,我们认为此“加密综合补贴申报文档”邮件为高危邮件。总结来看,其含有的风险特征包括:


为了规避安全检测机制,攻击者对邮件附件进行加密,并在附件文档中包含二维码图片;


该邮件通过知名公司的邮件服务器进行发送,增加了邮件的可信度;


攻击者仿冒政府机构,创建了高度仿真的文档内容和在线网站,用于诱导收件人填写个人敏感信息;


攻击者通过邮件的自动已阅回执功能,来搜集数据,了解到钓鱼邮件已经被哪些收件人打开;


邮件中所含的网站位于法国,未在公安部进行注册;


发件人的名称进行了伪装,显示为“人力资源部”。


此邮件的完整攻击溯源图如下所示:


图12. 攻击溯源图



四、防范建议



钓鱼邮件是一种常见的网络诈骗手段,通过冒充合法的机构或个人,诱导受害者提供个人敏感信息、登录凭证或进行不当操作。为了保护自己免受钓鱼邮件的攻击,以下是思安麦赛安全实验室的一些建议。




1. 使用邮件安全防护设备:部署可靠且稳定的邮件安全网关、邮件安全沙箱等邮件安全防护设备;




2. 定期检查安全防护设备:确保邮件安全防护设备的策略配置正确且生效,并确保设备的防护库已升级到最新版本;




3. 使用强密码:员工的邮箱账户应使用强密码,包括字母、数字和特殊字符的组合。避免使用容易猜测的密码,同时确保定期进行更换;




4. 员工意识培训:为员工提供钓鱼邮件识别和应对的培训,教育他们如何判断和避免潜在的威胁,并定期进行钓鱼邮件演练,测试员工的安全意识;




5. 验证发件人身份:在回复或提供任何敏感信息之前,细心验证发件人的身份。确保邮件地址和发件人姓名与正式机构或公司的信息相符;




6. 鼓励员工报告可疑邮件:如果员收到可疑的钓鱼邮件,应及时将其报告给您的组织或相关机构,以帮助企业采取适当的行动保护其他员工;




7. 警惕紧急情况:钓鱼邮件常常试图制造紧急情况,以迫使受害者匆忙采取行动。要保持冷静,不要受到威胁或诱惑;




8. 防止个人和邮件信息泄露:尽量不要在公开的论坛、社交媒体或不受信任的网站上泄露个人和邮件信息。攻击者可能会利用这些信息来制作更具针对性的钓鱼邮件;




9. 定期备份数据:定期备份您的重要数据,并将备份存储在安全的地方。这样,即使您受到钓鱼邮件攻击,并造成了数据损坏的情况下,您仍然可以恢复您的数据;




10. 验证财务交易:如果收到涉及财务交易的电子邮件,避免通过邮件直接响应。相反,通过银行官方网站、银行柜台、财务部同事等安全渠道来验证交易。