2018年邮件安全重点回顾

2018年钓鱼邮件出现的高峰期是在第四季度。钓鱼邮件的内容多半是一个关于你邮箱被停用、升级、非法登录的理由，并附上一个超链接。钓鱼邮件本身并不能钓到帐号密码，他需要搭配一个钓鱼网站，而钓鱼邮件的最大目的就是诱骗收件者拜访钓鱼网站并填入收件者的帐号密码。大约有7%的钓鱼邮件，其所配合的钓鱼网站是免费的网站或表单生成器;约有80%以上的钓鱼网站是遭到入侵的Wordpresss内容管理系统。

典型的钓鱼邮件，佯称须以个人帐号密码登录进行邮件邮箱的升级

钓鱼网站的登录页面，页面相关资讯的形成是动态的，依据受害者点击链接中所带的参数而有变化

输入帐号密码后，虽然看到一个失败的画面，但实际上帐号密码已遭到收集

除了传统的直接骗取帐号密码外，2018年三月我们也观察到一波不寻常的攻击邮件，这种邮件附带了一个藏在压缩档内的.url档案。

当收件人在Windows下解开附件，并点击.url档时会询问是否透过SMB通信协议取得并执行远端作为Downloader的.wsf档案;但.url档有个特殊之处：使用者光是「提取」.url档案，Windows就会主动向.url要求的位址以SMB通信协议要求信息.，此时已对远端恶意主机泄漏收件人使用的IP与其电脑名称。若url内指向的为远端恶意主机的Samba路径，且恶意主机上的Samba服务器启用了NTLMv2验证机制，当Windows自动拜访该主机时，就会将使用者的密码进行哈希运算后送至恶意主机进行验证。虽然无法从哈希码反推回实际的密码，但若是密码的强度不足，只要对密码字典表进行哈希编码后再做比对，就有很高的机会还原密码，并进一步攻击企业外部服务，以此密码尝试登录。这算是钓鱼邮件中一个很特别的例子!

隐而不显的BEC诈骗事件

在2018年，BEC商业电子邮件诈骗事件发生频率并没有趋缓，根据ASRC研究中心与Softnext守内安的观察，2018年的BEC邮件出现的高峰期为第三季。

最常遭受BEC诈骗邮件攻击的产业以金融业、高科技制造业、制造业的比例最高。某些特定企业每一到两个月就会遭到1~2次的BEC邮件攻击，且这样的攻击会持续3个月以上。在遭遇BEC诈骗事件后，仅8.23%的企业会寻求专业安全厂商的协助，清查鉴识事件背后的信息安全问题。

美国联邦调查局(FBI)网际网络犯罪申诉中心在2018年7月发布的一则消息中指出，自2013年10月起至2018年5月，全球已曝光的BEC诈骗案件计有78,617件，损失金额超过125亿美元;从2016年12月到2018年5月，已曝光的BEC诈骗损失金额成长了136%。

BEC诈骗与APT攻击间有着相同的特性，黑客在事前经过长时间监控观察以及缜密计划后发动攻击，一旦被盯上，攻击就有可能重复发生。若只把事后补救重点放在「款项追回」，未正视处理事件背后隐藏的信息安全问题，就算企业幸运追回款项，难保黑客不会再度发动攻击。因此若不幸被诈骗，除了立即采取行动与警方、金融单位联系外，也应寻求专业鉴识伙伴协助，协助清查鉴识受害电脑与关联网络，改善企业信息安全问题避免再度受黑。

比勒索更简单的「恐吓邮件」

恐吓邮件，并没有夹带任何的恶意档案或攻击代码，纯粹是透过在心理上的恐吓，迫使收到此类邮件的受害者因害怕而依照邮件的指示言听计从。这些恐吓信的收信人名单有不少是从过去社群网站或是大规模泄漏事件中取得的，因此在其内容会提供该收件者过去遭到泄漏的密码，用以取信收件者相信自己的帐号确实遭到入侵。除了以密码恫吓收信者外，也有部分是用诓称收信人电脑已被植入病毒，并透过收件者电脑的网路摄影机拍下一些敏感画面，或收信者有机敏数据在入侵者手上的说词来达到恐吓的目的。

这类邮件最初皆由英文写成，但在2018下半年后观察到有语言变形的趋向，但不见得是直接攻击使用该语言最多的地区;再者，这类恐吓信通常要求使用比特币来进行支付，对于使用比特币较不方便或禁止使用的地区，其恐吓取财成功的机率应不会太高。

恐吓邮件，并没有夹带任何的恶意档案或攻击代码，纯粹是透过在心理上的恐吓

2019趋势与结语

2018年曾出现的攻击手法，2019年可能多半都还能沿用，来自电子邮件的攻击从来不会绝迹，只会变形。2019年出现的攻击邮件夹带附件的比例可能会略为下降，以超链接配合遭到入侵的网站进行恶意程序下载攻击，或骗取帐号密码为主要攻击方法。然而要特别留意的是，随着多国语言自动翻译技术的进步，未来的邮件攻击的内文会更加流畅的以本地化语言进行社交工程攻击。

（编辑：核心网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!