“钓鱼”事件频发，您的企业邮件安全吗？

网络民工Plus永

钓鱼邮件我们经常听说，却不认为会发生在自己身上，相信自己有足够的能力来辨别钓鱼邮件。但是如果该邮件来源为自己企业的人事、财务邮箱，邮件主题为“最新工资补贴”呢？

1、知名互联网企业员工遭遇钓鱼邮件诈骗

近日，国内某知名企业遭遇了网络上最常见的诈骗方式。企业员工在5月18日早晨收到一封来自“企业财务部”名为《5月份员工工资补助通知》的邮件，大量员工按照附件要求扫码，并填写了银行账号等信息，最终没有等到所谓的补助。因为邮件来源显示为公司内部域名，公司平时报销也存在需要员工银行账号的惯例，加上员工之间本身就有薪资保密的义务，员工没有对邮件内容产生怀疑，这才导致被骗。

事实上，类似的“工资补助”诈骗从去年开始就在全国发生过多起，国内门户新闻网站也进行过相关报道：

2、钓鱼邮件攻击路径分析

数据显示，90%的黑客攻击都是通过邮箱作为突破口的，电子邮箱直接关系着企业安全。全球每年因为钓鱼邮件造成的经济损失高达数百亿。

就本次事件来看，企业员工收到了来自“企业财务部”《5月份员工工资补助通知》的邮件，同时邮件来源显示为公司内部域名，基于这个场景可以分析一下该邮件产生的几种可能性：

• “企业财务部”邮件账号被盗：钓鱼方已经拿到“企业财务部”的邮件账号、密码以后就可以通过正常的方法途径发送任意内容的邮件。

• 企业员工邮件账号被盗：“企业财务部”的邮件账号并没有被盗，但是企业内部其它员工的邮箱账号被盗，此时钓鱼方使用该员工的邮箱账号、密码进行验证，使用“企业财务部”的邮件账号发送伪造邮件，此时邮件的认证账号和发送邮件的账号是不一致的。有些企业的邮件服务器不会对邮件的认证账号和发信账号做一致性检测，这也给钓鱼方留了通道。

• 伪造邮件：钓鱼方并没有拿到“企业财务部”的邮件账号、密码，通过一系列的技术手段伪造此类邮件发送给内部员工，让员工表现上看起来是“企业财务部”所发，从而达到钓鱼的目的。这种可能性就需要提一下邮件的“信封发件人”、“发件人”的区别，大家所收到的邮件里表面上所看到的实际上是“发件人”，而“信封发件人”才是真实发送邮件的地址，钓鱼方注册任意一个域名，并对该域名和发送IP配置合理的PTR、DNS、SPF、DMIM、DMARC等记录，从而绕过收件方一系列的安全检测，在填写邮件内容的时候将“发件人”填写为“企业财务部”的邮件账号，那么员工收到邮件以后就会认为是“企业财务部”的邮件账号所发，但这种邮件的信封发件人和发件人又是不一致的。

  
  

而钓鱼邮件经常会伪装成同事、合作伙伴、朋友、家人等用户信任的人，通过发送电子邮件的方式，诱使用户回复邮件、点击嵌入邮件正文的恶意链接或者打开邮件附件以植入木马或间谍程序，进而窃取用户敏感数据、个人银行账户和密码等信息，或者在设备上执行恶意代码实施进一步的网络攻击活动。如：你收到“人事”发来的邮件，要给你补发工资，需要你提供银行卡号等信息，是不是有马上提交填写的冲动？或者是收到一个“和合作伙伴”发来的项目资料，里面的资料都是你需要的，需要打开附件才能查看， 是不是会信以为真？在你动心的那一刹那，已经逐步沦为黑客的“猎物”了。

3、天空卫士和Gartner为企业提出战略建议

天空卫士和Gartner认为邮件安全防护是一项持续的体系化工程。在商业市场环境愈发重视邮件高效、安全应用的今天，传统安全技术应对各类新型邮件威胁已难以为继，企业需使用最新防护技术（如机器学习、深度内容检测、以及用户行为分析）来增强电子邮件的安全，基于此，天空卫士和Gartner为企业提出了以下重要战略建议：

选择更高级别的邮件安全技术

邮件防欺骗引擎检测：主动发现伪造邮件的行为，对邮件的发信IP、发信域名、认证账号、信封发件人邮箱、发件人邮箱等进行一系列的安全检测、行为检测，让伪造邮件无隙可趁。

邮件恶链检测防护：集成多个高级安全扫描引擎和丰富安全URL分类，通过本地与云端实时查询并结合URL信誉技术，对邮件里嵌入的 URL 进行分类分析和跳转分析，对含有恶意、钓鱼、木马等有风险的URL进行替换、删除、隔离等防护手段。

邮件防钓鱼实时内容检测：钓鱼邮件的主要目的是获取账号、密码、验证码等信息，会伪造常用的网银、邮箱、OA系统等。邮件防钓鱼实时内容检测引擎采用大数据机器学习技术对此类需提供登录、认证信息的内容进行建模，用DLP内容分析技术进行模型匹配，及时发现钓鱼内容的风险，并进行风险提示和保护。

安全意识引导，主动防御

邮箱账号弱密码识别及防护：协助企业发现影子邮箱，哪些邮箱还在使用弱密码、默认密码，而这些密码很容易被攻击者获取。

主动出击保护邮件安全，尽可能的减少钓鱼邮件、伪造邮件的可能性。

为电子邮件安全技术补充用户意识培训，尤其是针对BEC 网络钓鱼诈骗为用户提供培训。

执行标准操作流程，认证电子邮件的财务或数据交易，尽力将高风险临时交易从电子邮件转移至认证级别更高的系统。

增强邮件系统的免疫力，选择新一代增强型邮件安全网关。

为了避免用户成为受害者，天空卫士提供增强型邮件安全网关，采用更高级、更尖端的技术，以内外双方向防护为基础，增强企业邮箱的免疫力和防御能力，帮助企业多维度进行数据安全管理。

4、天空卫士教大家辨别钓鱼邮件

钓鱼邮件通常有哪几种类型呢？我们该如何辨别以假乱真的“钓鱼邮件”呢？今天教大家辨别一下几种最常见的钓鱼邮件。

仿冒发件人邮件

黑客或者诈骗人员通过自己搭建服务器，将自己伪装成任意发件人，将诈骗邮件发送给“目标人群”。这种邮件看起来非常逼真，收件人难以辨别，我们称之为邮件的“高仿”。

文链接钓鱼邮件

收到一封邮件，需要点开链接，才能查看内容。钓鱼链接有两种，一种是点开链接会调整到钓鱼网站，要求用户输入账户信息之类以获取用户敏感信息；另一种链接含有马程序，点开就被植入了木马。

附件钓鱼邮件

很多人看到邮件中有附件时，就习惯性的点开查看。附件钓鱼邮件以Exe/Scr后缀的附件的风险程度最高，一般是病毒执行程序。其他常见的还有Html网页附件、Doc附件、Excel附件、PDF附件等，用户点开附件的瞬间病毒灾难就开始了。

鱼叉式钓鱼邮件

鱼叉式钓鱼邮件是一种只针对特定目标进行攻击的钓鱼攻击，由于鱼叉式网络钓鱼锁定之对象并非一般个人，而是特定公司、组织成员。

BEC钓鱼邮件

BEC诈骗(Business Email Compromise），又被叫商务邮件诈骗，攻击者通过将邮件发件人伪装成你的领导、同事、商业伙伴，以此骗取商业信息、钱财、或者获取其他重要资料。

5、天空卫士在邮件安全领域的研究

天空卫士一直致力于企业邮件安全的科普教育及创新技术研究，曾在公众号连续发布了二期关于邮件安全网关的科普视频：《邮件安全遇到的新难题》、《邮件安全应用场景》。

[https://mp.weixin.qq.com/s/i9LATsN8Cpt6oDSOvRozAw](《安全顾问话安全系列视频》—— 邮件安全场景保护)
2020-11-27
[https://mp.weixin.qq.com/s/hi33MFvbnyL8asShgmJjSg](《安全顾问话安全系列视频》—— 邮件安全遇到的“新难题”)
2020-11-13

同时，Gartner多次给予了高度评价和认可，天空卫士邮件安全网关产品由于先进的市场理念和雄厚的技术优势，被Gartner列入2020邮件安全网关市场指南。

本文作者：天空卫士， 转载请注明来自FreeBuf.COM