邮件攻击案例系列三：动态 IP 池爆破员工邮箱钓鱼重要客户

案例描述

2023 年 11 月，某制造业企业员工 Emily 接到海外客户电话，向其核实一封电子邮件的真实性，因为客户认为，该邮件所给出的链接不像是该公司的官网网址。Emily 查看自己的邮箱，并未发现客户所说的邮件。但从客户提供的截图来看，邮件确实是从她的邮箱发出的。Emily 立即向公司网络安全部门报告。网络安全部门通过邮件安全日志审计发现，攻击者早在此前 3 天，就已经成功异地登录了 Emily 的邮箱。有明显迹象表明：攻击者是在仔细研究该公司相关业务及邮件通信习惯后，才使用 Emily 的邮箱给客户发送了一封精心伪装的钓鱼邮件。

不仅如此，攻击者还冒充公司某内部职能部门，给十余位同事发送了其他内容的钓鱼邮件，已经有多位同事点开了钓鱼链接，多个相关账号已被异地异常登录。被盗邮箱中包含公司多份商业机密数据文件，疑似已被泄露。

攻击者在使用 Emily 的邮箱发送多封钓鱼邮件后，又及时将本地和云端的发件箱中的钓鱼邮件删除，从而延缓了 Emily 发现邮箱被盗用的时间。这也是为何 Emily 没有在发件箱中找到客户所述邮件的原因。

该公司网络安全部门立即采取了紧急措施来控制损失，包括强制所有员工重置密码，启用双因子认证，并对内部网络进行了彻底的安全排查。这一事件虽然暂未给公司带来直接的经济损失，但已有重要商业机密被窃取，同时也失去了重要客户的信任。

那么，Emily 的邮箱是如何被盗的呢？调查显示，Emily 的邮箱密码并非流行弱口令，但密码复杂度不高，理论上是可以进行暴力破解的。而该公司邮箱也设置了一些基础的防暴破措施，如限制了短时间内同一 IP 的登录次数。

但是，邮件安全系统日志显示，自 2023 年 10 月初，攻击者就一直在尝试对 Emily 的邮箱进行暴力破解。只不过，这个黑产团伙拥有一个庞大的动态 IP 池（疑似僵尸网络），可以在全球范围内动态更换 IP 地址，仅日志系统记录的用于爆破 Emily 邮箱账号的 IP 地址就有 1 万多个。黑产团伙还设计了一个自动化脚本，利用 IP 池对 Emily 的邮箱账号进行暴力破解，持续更换 IP 对 smtp 端口进行登录尝试。为了避免触发邮箱服务的安全警报，他们对每个 IP 地址的尝试次数进行了限制，并确保每次尝试之间有一定的时间间隔。经过数周的不懈尝试，这个黑产团伙最终于事发前三天完成爆破，登录成功。

下图是系统记录的攻击者的爆破记录，其中标红的就是爆破成功的记录。

事实上，发生在 Emily 身上的事件并非个例。动态 IP 池的存在让黑产团伙能够在全球范围内针对各行各业进行网络攻击，从盗取个人信息到暴力破解邮箱账号，无所不用其极。而传统的基于 IP 频率限制的安全策略已经不够用了。攻击者可以通过不断更换 IP 地址来规避这种限制，使得这种防御措施变得无效。因此，需要从更根本的层面加强防护。