某互联网公司内部钓鱼邮件事件的技术分析与建议
作者: 日期:2022年02月16日 阅:1,928

1.事件描述

2022年2月7日晚间,微博爆料某知名互联网公司的全体员工收到钓鱼邮件,“多位同事中招,受骗金额总计8万左右。从5日凌晨2点到下午1点IT才把钓鱼邮件删除完。内部没有发全员邮件告知,导致不断有人受骗。在员工接连受骗的情况下没有第一时间通知全员。全员邮件也不发一个,一分钱赔偿也没有。”

而从该微博内容附件的图片显示,受害员工成立了“钓鱼邮件受害者”群,目前群内有72人,有受骗员工咨询相关部门HR得到的回复是,建议同事自行报警。群内部分员工认为,“从企业邮箱发出来的邮件导致员工受骗,难道企业不应该承担后续责任吗?”更有员工称“钱我没追回来,但是做做样子报案,说点啥也好呀。”、“但公司一点责任都不想付。”

北京网际思安科技有限公司麦赛安全实验室(MailSec Lab)研究人员对该钓鱼邮件事件做了技术性的推演与分析,并在事前教育、事中防护、事后溯源等多方面给出了防范类似钓鱼邮件攻击的专业技术建议。

2.关于钓鱼邮件

  • 什么是钓鱼邮件

钓鱼邮件是属于社会工程攻击的一种,通常用于窃取用户数据,例如登录信息、信用卡号码等。攻击者通常会伪装成受信任的实体,欺骗受害者打开电子邮件,并诱骗受害者点击恶意链接,从而在受害者计算机上安装恶意软件、盗窃受害者敏感数据等。

  • 钓鱼邮件事件的“全生命周期保护”概念

根据2021年行业报告,84%的企业受到网络钓鱼攻击。如何应对日益增长的钓鱼邮件攻击?北京网际思安科技有限公司麦赛安全实验室研究员认为,企业应该如下图所示做到钓鱼事件的全生命周期保护。

图片1. 钓鱼事件的全生命周期保护

3.技术分析与建议

  • 首先,事前教育。

在事前应该加强对员工的钓鱼邮件防范意识的教育。可通过“邮件安全社交工程演练”技术定期进行模拟钓鱼邮件测试,并结合测试结果进行培训的方式,来提升员工识别钓鱼邮件的能力,帮助企业打造隐形安全屏障。

例如,在该知名互联网公司的员工如果能提高意识,对该封钓鱼邮件包含的下列字段提高警觉和辨别能力的话,可大大减少企业和个人损失。

  • 其次,事中保护。

在事中应该“传统静态”和“高级动态”防护技术相结合的方式来提高垃圾邮件的识别率。当前钓鱼邮件的攻击方式不断进化,越来越多种多样,如果仅仅采用传统的基于IP地址、域名和HASH值的静态邮件安全防护技术,很难跟上钓鱼邮件攻击的发展。在未来,采用能对可疑行为进行动态跟踪和深层次关联分析的高级动态防护技术将极大的提升对垃圾邮件的检测准确率。

例如,网际思安的“MailSec-钓鱼沙箱”技术,可为每次的URL访问构建一次性的“远程浏览器”容器运行环境,所有邮件链接隔离安全访问,即使是恶意链接,也远离用户终端执行而不会被执行;此外,“MailSec-病毒沙箱”技术,可在沙箱内,动态模拟打开邮件,并对邮件内的链接和附件进行访问和动态跟踪,从而发现可疑行为。

图片2. MailSec-钓鱼沙箱

与此同时,根据互联网上的信息,很可能该知名网络公司的某个员工邮箱被盗,导致黑客通过该员工邮箱向全员发送了伪造邮件。因此通过“邮件安全”技术对企业员工邮箱进行保护也是必不可少,防止黑客通过暴力破解获得邮箱密码,并可通过QOS限速,避免邮箱被盗后用于外发垃圾邮件。

  • 最后,事后追溯。

百密难有一失。当面临来自外网的无限攻击时,IT管理员必须做好事后追溯和取证工作,“邮件归档”技术可帮助企业对所有员工邮件进行备份,并提供实时查询,从而为事后的司法追责提供强有力的支撑。与此同时,“诈骗邮件检测分析”技术采用机器学习、全球特征库和庞大的样本库对企业归档邮件进行统一关联分析,从而精准的发现可疑邮件,并及时通知IT管理员,从而弥补了在事中实时检测中的不足。

关于麦赛安全实验室(MailSec Lab)

北京网际思安科技有限公司(MailSec.cn)麦赛安全实验室(MailSec Lab)专注于邮件安全领域的威胁情报及创新性技术研究工作。MailSec Lab依托于网际思安在邮件安全领域16年积累的丰富的产品研发与技术服务经验,汇集了一批10年+网络安全领域工作经验的行业专家,将积极开展全球电子邮件恶意威胁情报的发现、采集、分析与预警、响应等工作,并定期发布邮件安全领域的威胁趋势及邮件安全事件的深度分析报告;MailSec Lab还将结合企业数字化转型的时代背景,积极从事邮件系统安全防护、邮件数据安全治理、邮件数据价值保护、邮件安全应用与企业IT信息化深度融合等创新性技术研究。

麦赛安全实验室(MailSec Lab)设立初心是服务于网际思安“安邮天下、畅邮未来“的企业愿景,服务于网际思安“为邮件安全应用赋能、为用户建设最佳电子邮安全保障体系”的企业使命,麦赛安全实验室(MailSec Lab)愿意与国际和国内所有志同道合的信息安全组织机构、友商共同携手,积极广泛开展威胁情报互换、技术研究等合作,共同构建起坚实的邮件安全威胁防护体系。欢迎生态合作伙伴联系北京网际思安科技:400-099-6608。


相关文章