MailSec Lab 电子邮件安全热点分析报告(2023.07.14)
作者: 日期:2023年07月21日 阅:684

概要:Bounce类钓鱼邮件激增

本周(2023年7月17日~21日),思安麦赛安全实验室观察到大量增加的Bounce钓鱼邮件,请各单位和企业做好相关的防护。

热点描述:

关于此批Bounce钓鱼邮件,如下图所示:

图1. Bounce钓鱼邮件样本

为了隐藏真实身份并躲避欲攻击对象所在公司的邮件安全检测,防止攻击邮件被拦截,黑客伪造并使用目标攻击对象的邮件地址作为发件人邮件地址,并故意将邮件投递给一个知名公司的不存在邮件地址。因为收件人地址不存在,该知名的公司的邮件服务器会向发件人地址发送bounce退信邮件,通知该发件人邮件投递失败。

当被攻击对象所在公司的邮件服务器收到bounce退信邮件后,因为该邮件来自于知名公司,所以会正常的接收该退信邮件并将邮件放置到发件人的收件箱。一旦员工打开退信邮件的附件后,将查看到黑客发送来的威胁信息:

图2. 含威胁信息的邮件

思安知识小课堂

“bounce邮件”是指由邮件服务器或邮件过滤系统自动回复给发件人的一类邮件。这些邮件在传送过程中因为某种原因无法被成功送达收件人,所以被退回(”bounce”)给发件人。

专家分析:

思安麦赛安全实验室的专家对此邮件的风险特征进行了技术分析。

分析1:源IP地址

提前划重点

* 此IP地址下的组织很大概率为一个正常运行的企业或服务商,而黑客攻陷或租用了该组织的计算机,并使用该计算机发送了Bounce攻击邮件。

* 此IP地址所在的网段,曾经存在大量恶意IP地址。

对bounce退信邮件的附件进行分析,根据邮件头的指定字段可知,该恶意邮件的来源IP地址(攻击者IP地址)是121.52.144.171。

图3. 邮件头部源IP字段展示

该IP地址位于“巴基斯坦/旁遮普邦/拉瓦尔品第”地区,网络服务商为“HEC”。当前该IP地址下使用了“华为USG6630防火墙”和“腾达路由器”设备,说明该IP地址下的组织很大概率为一个正常运行的企业或服务商,而黑客攻陷或租用了该组织的计算机,并使用该计算机发送了Bounce攻击邮件,而非使用私人网络环境发起攻击。

图4. 该IP下的华为USG6630防火墙
图5. 该IP下的腾达路由器

与此同时,查询该IP地址的信誉可知,此IP地址所在的网段,曾经存在大量恶意IP地址:

图5. 该IP网段下曾存在大量恶意IP地址

分析2:伪造发件人地址

提前划重点

* 攻击者伪装为国内某家知名公司的员工发送邮件,该中国公司的域名并未开启相关的邮件防伪造检测机制

攻击者从位于巴基斯坦的计算机上,伪装为国内某家知名公司的员工,向马来西亚一家金融机构发送了攻击邮件。该马来西亚公司的邮件设备,尝试对发件人邮件地址进行了SPF和DKIM验证,验证发件人地址的有效性。然而很可惜,该国内知名公司的域名并未开启相关的邮件防伪造检测机制。因此马来西亚公司的邮件设备未拒绝该邮件,并因为收件人在该公司不存在,而向中国公司发出了退信邮件。

图6. 被攻击公司未开启邮件防伪造机制
图7. 通过了对发件人地址有效性的验证

分析3:邮件攻击链路溯源

经分析此邮件的完整攻击溯源图如下所示:

总结与攻击溯源:

经思安麦赛安全实验室的分析测试,我们认为此“Bounce钓鱼”邮件样本含有的风险特征包括:

  • 攻击起源IP地址下的组织很大概率为一个正常运行的企业或服务商,而黑客攻陷或租用了该组织的计算机,并使用该计算机发送了Bounce攻击邮件;
  • 攻击起源IP地址所在的网段,曾经存在大量恶意IP地址;
  • 攻击者伪装为国内某家知名公司的员工发送邮件,该中国公司的域名并未开启相关的邮件防伪造检测机制;
  • 邮件正文内容中含比特币、汇款、账户等敏感词汇。

防范建议:

Bounce钓鱼邮件是一种邮件攻击手段,通常用于隐蔽地向攻击目标发送恶意内容,而避免直接暴露攻击者的邮件地址,并躲避被攻击目标组织的邮件安全检测。

要防范Bounce钓鱼邮件应遵循如下一些安全实践:

  1. 本域名邮件地址验证:实施SPF、DKIM和DMARC等发件人验证技术,从而帮助第三方组织验证邮件的真实来源;
  2. 警惕紧急情况:钓鱼邮件常常试图制造紧急情况,以迫使受害者匆忙采取行动。要保持冷静,不要受到威胁或诱惑;
  3. 使用邮件安全防护设备:部署可靠且稳定的邮件安全网关、邮件安全沙箱等邮件安全防护设备;
  4. 定期检查安全防护设备:确保邮件安全防护设备的策略配置正确且生效,并确保设备的防护库已升级到最新版本;
  5. 培养安全意识:加强员工和自己的安全意识培训,教育他们如何识别潜在的恶意邮件,并提醒他们不要随意打开可疑的附件;
  6. 鼓励员工报告可疑邮件:如果收到可疑邮件,员工应及时将其报告给您的组织或相关机构,以帮助企业采取适当的行动保护其他员工;
  7. 验证财务交易:如果收到涉及财务交易的电子邮件,避免通过邮件直接响应。相反,通过银行官方网站、银行柜台、财务部同事等安全渠道来验证交易。
  8. 防止个人和邮件信息泄露:尽量不要在公开的论坛、社交媒体或不受信任的网站上泄露个人和邮件信息。攻击者可能会利用这些信息来制作更具针对性的钓鱼邮件;;

麦赛安全实验室(MailSec Lab)介绍:

北京网际思安科技有限公司麦赛邮件安全实验室(MailSec Lab)依托于网际思安过去12年积累的邮件威胁数据,汇集了一批10+工作经验的行业专家,专注于新型邮件威胁的调研,和下一代邮件安全技术的创新性研究。在过去十多年中,MailSec Lab服务于3000+家各个行业领域的典范客户,获得客户的广泛赞誉。与此同时,实验室积极与国际和国内知名信息安全厂商合作,广泛开展威胁情报互换、共同研究等合作,构建共同防御的威胁防护体系。

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!

上一篇

MailSec Lab 电子邮件安全热点分析报告(2023.07.14)

下一篇

“产、学、研、用”协同创新,全力打造安全平行切面生态体系

安全牛

相关文章

厂商供稿

直播预告:全球通邮-如何保障安全、快捷的海外中继服务

厂商供稿

Coremail客户案例:CAC2.0全流程安全防护,有效缓解账号被盗风险

厂商供稿

EDLP:全面保护邮件数据防泄露,确保企业数据安全!