邮件攻击案例系列三:动态 IP 池爆破员工邮箱钓鱼重要客户

案例描述

2023 年 11 月,某制造业企业员工 Emily 接到海外客户电话,向其核实一封电子邮件的真实性,因为客户认为,该邮件所给出的链接不像是该公司的官网网址。Emily 查看自己的邮箱,并未发现客户所说的邮件。但从客户提供的截图来看,邮件确实是从她的邮箱发出的。Emily 立即向公司网络安全部门报告。网络安全部门通过邮件安全日志审计发现,攻击者早在此前 3 天,就已经成功异地登录了 Emily 的邮箱。有明显迹象表明:攻击者是在仔细研究该公司相关业务及邮件通信习惯后,才使用 Emily 的邮箱给客户发送了一封精心伪装的钓鱼邮件。

不仅如此,攻击者还冒充公司某内部职能部门,给十余位同事发送了其他内容的钓鱼邮件,已经有多位同事点开了钓鱼链接,多个相关账号已被异地异常登录。被盗邮箱中包含公司多份商业机密数据文件,疑似已被泄露。

攻击者在使用 Emily 的邮箱发送多封钓鱼邮件后,又及时将本地和云端的发件箱中的钓鱼邮件删除,从而延缓了 Emily 发现邮箱被盗用的时间。这也是为何 Emily 没有在发件箱中找到客户所述邮件的原因。

该公司网络安全部门立即采取了紧急措施来控制损失,包括强制所有员工重置密码,启用双因子认证,并对内部网络进行了彻底的安全排查。这一事件虽然暂未给公司带来直接的经济损失,但已有重要商业机密被窃取,同时也失去了重要客户的信任。

那么,Emily 的邮箱是如何被盗的呢?调查显示,Emily 的邮箱密码并非流行弱口令,但密码复杂度不高,理论上是可以进行暴力破解的。而该公司邮箱也设置了一些基础的防暴破措施,如限制了短时间内同一 IP 的登录次数。

但是,邮件安全系统日志显示,自 2023 年 10 月初,攻击者就一直在尝试对 Emily 的邮箱进行暴力破解。只不过,这个黑产团伙拥有一个庞大的动态 IP 池(疑似僵尸网络),可以在全球范围内动态更换 IP 地址,仅日志系统记录的用于爆破 Emily 邮箱账号的 IP 地址就有 1 万多个。黑产团伙还设计了一个自动化脚本,利用 IP 池对 Emily 的邮箱账号进行暴力破解,持续更换 IP 对 smtp 端口进行登录尝试。为了避免触发邮箱服务的安全警报,他们对每个 IP 地址的尝试次数进行了限制,并确保每次尝试之间有一定的时间间隔。经过数周的不懈尝试,这个黑产团伙最终于事发前三天完成爆破,登录成功。

下图是系统记录的攻击者的爆破记录,其中标红的就是爆破成功的记录。


事实上,发生在 Emily 身上的事件并非个例。动态 IP 池的存在让黑产团伙能够在全球范围内针对各行各业进行网络攻击,从盗取个人信息到暴力破解邮箱账号,无所不用其极。而传统的基于 IP 频率限制的安全策略已经不够用了。攻击者可以通过不断更换 IP 地址来规避这种限制,使得这种防御措施变得无效。因此,需要从更根本的层面加强防护。

鉴别方法

想要全面杜绝基于动态 IP 池的网络爆破,需要采用一些高级的网络安全技术,如双因子认证、弱口令检测、零信任体系等。但对于已经被盗号的邮箱发出的钓鱼邮件,还是有一定方法可以识别的 。

1. 对于邮件中包含的网址链接,一定要认真核对,以确保网址是合法的。

2. 公司职能部门发送的邮件,通常都是大面积群发的,如果只是有少数几个收件人,就应当更加谨慎的甄别邮件的真实性,最好向相关部门负责人进行核实。

3. 如果邮件链接要求输入账号登录或输入个人信息,应核实页面网址是否为 https 开头。如若不是,则极为可能是钓鱼邮件。

4. 如果邮件内容涉及财务账号变更、交易支付等敏感内容,最好通过电话、社交软件等邮件之外的方式向对方核实信息的真实性、有效性。

参考来源:邮件攻击案例系列三:动态 IP 池爆破员工邮箱钓鱼重要客户 | MailABC邮件知识百科

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/diannao/50772.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

数据结构-----对列

前言 Hello, 小伙伴们,你们的作者菌又来了,前不久,我们学习了一种数据结构----栈,他特殊的性质使得他在一些数据管理的问题上被广泛的使用,那今天,我们就来学习另一种十分重要的数据结构--对列。 在开始之…

Linux字符设备驱动基本框架

本章我们从 Linux 驱动开发中最基础的字符设备驱动开始,重点学习 Linux 下字符设备驱动开发框架。本章会以一个虚拟的设备为例,讲解如何进行字符设备驱动开发,以及如何编写测试 APP 来测试驱动工作是否正常,为以后的学习打下坚实的…

3. 系统上电启动流程

1. 概述 上电启动,可参考恒玄sdk的指导手册。 注:可以在sdk这里加载自己的入口函数 STEP1: STEP2: STEP3: STEP4:

【日常记录】【插件】多媒体文本化: text-image 可以将文字、图片、视频进行「文本化」

文章目录 1. html基本结构2. 画文字3. 画图片4. 画视频参考地址 1. html基本结构 <!DOCTYPE html> <html lang"en"><head><meta charset"UTF-8" /><meta name"viewport" content"widthdevice-width, initial-s…

ctfshow web入门 中期测评 web492--web502

web492 <?php include(render/render_class.php); include(render/db_class.php);$action$_GET[action]; if(!isset($action)){header(location:index.php?actionlogin);die(); }if($actioncheck){extract($_GET);if(preg_match(/^[A-Za-z0-9]$/, $username)){$sql &qu…

如何设置postgresql数据库的账户密码

说明&#xff1a;在我的云服务器上&#xff0c;postgres是使用yum的方式安装的&#xff0c;不需要设置postgres账户的密码&#xff0c;本文介绍安装后如何手动设置postgres账户的密码&#xff1b; postgres数据库安装&#xff0c;参考下面这篇文章&#xff1a; PostgreSQL安装…

SpringBoot整合SSE技术详解

Hi &#x1f44b;, Im shy SpringBoot整合SSE技术详解 1. 引言 在现代Web应用中,实时通信变得越来越重要。Server-Sent Events (SSE)是一种允许服务器向客户端推送数据的技术,为实现实时更新提供了一种简单而有效的方法。本文将详细介绍如何在SpringBoot中整合SSE,并探讨S…

python-学生排序(赛氪OJ)

[题目描述] 已有 a、b 两个链表&#xff0c;每个链表中的结点包括学号、成绩。要求把两个链表合并&#xff0c;按学号升序排列。输入格式&#xff1a; 输入共 NM1 行。 第一行&#xff0c;输入 a、b 两个链表元素的数量 N、M&#xff0c;中间用空格隔开。下来 N 行&#xff0c;…

【北京迅为】《i.MX8MM嵌入式Linux开发指南》-第三篇 嵌入式Linux驱动开发篇-第四十章 Linux用户层和内核层

i.MX8MM处理器采用了先进的14LPCFinFET工艺&#xff0c;提供更快的速度和更高的电源效率;四核Cortex-A53&#xff0c;单核Cortex-M4&#xff0c;多达五个内核 &#xff0c;主频高达1.8GHz&#xff0c;2G DDR4内存、8G EMMC存储。千兆工业级以太网、MIPI-DSI、USB HOST、WIFI/BT…

找工作准备刷题Day10 回溯算法 (卡尔41期训练营 7.24)

回溯算法今天这几个题目做过&#xff0c;晚上有面试&#xff0c;今天水一水。 第一题&#xff1a;Leetcode77. 组合 题目描述 解题思路 从题目示例来看&#xff0c;k个数是不能重合的&#xff0c;但是题目没有明确说明这一点。 使用回溯算法解决此问题&#xff0c;利用树形…

ElasticSearch搜索

ES搜索 elastic search 一套搜索引擎技术,主要技术栈包括 Elasticsearch&#xff1a;用于数据存储、计算和搜索 Kibana&#xff1a;用于数据可视化 在数据库模糊查询中,因为不走索引,所以效率很低,而在搜索引擎中,不仅效率高,而且即使出现个别错字,或者用拼音搜索,甚至用同…

docker安装sql server容器

安装 docker pull mcr.microsoft.com/mssql/server:2017-latest启动 docker run -e "ACCEPT_EULAY" -e "SA_PASSWORDwjl135246" -p 1433:1433 -m 4000M --memory 4000M --name sqlserver -d mcr.microsoft.com/mssql/server:2017-latest远程链接即可 参…

用户登录安全是如何保证的?如何保证用户账号、密码安全?

1.HTTP协议直接传输密码&#xff08;无加密&#xff09; 前端 直接发送HTTP请求&#xff08;无加密&#xff09;&#xff0c;攻击者可直接捕获网络包&#xff0c;看到下面的明文信息 因此&#xff0c;使用HTTP协议传输会直接暴露用户敏感信息。 2.HTTPS协议直接传输密码&…

Postgresql 16开启SELINUX

平时我们习惯了&#xff0c;安装数据库&#xff0c;就关闭SELINUX&#xff0c;不关闭SELINUX&#xff0c;就不会安装数据库了&#xff0c;那么不关闭SELINUX&#xff0c;就不能安装数据库了吗&#xff1f; 答案是否定的。 不过&#xff0c;如果我们在开启SELINUX情况下安装PG…

Matlab类阿克曼车机器人运动学演示

v1是后驱动轮轮速&#xff0c; v2是转向角变化速度&#xff0c; 实际上我们只需要关注XQ&#xff0c; YQ和Phi的变化率。 通过这三项和时间步长&#xff0c; 我们就可以计算出变化量&#xff0c; 再结合初始值就能推断出每个时刻的值。 % 清理当前运行环境 % 清除所有变量 cle…

opencv使用KCF算法跟踪目标,给出目标中心位置

效果图 代码 import cv2class VideoTracker:def __init__(self, video_path: str):self.video_path video_pathself.cap cv2.VideoCapture(video_path)self.tracker cv2.legacy.TrackerKCF_create()self.initBB Noneself.tracker_initialized Falseself.selecting Fals…

【教程】vscode添加powershell7终端

win10自带的 powershell 是1.0版本的&#xff0c;太老了&#xff0c;更换为powershell7后&#xff0c;在 vscode 的集成终端中没有显示本篇教程记录在vscode添加powershell7终端的过程 打开vscode终端配置 然后来到这个页面进行设置 查看 powershell7 的安装位置&#xff…

韦东山嵌入式linux系列-异常与中断的概念及处理流程

1 中断的引入 一些概念&#xff1a; 中断&#xff1a;在主程序运行过程中&#xff0c;出现了特定的中断触发条件&#xff08;中断源&#xff09;&#xff0c;使得CPU暂停当前正在运行的程序&#xff0c;转而去处理中断程序&#xff0c;处理完成后又返回原来被暂停的位置继续运…

数据结构第二讲:顺序表

数据结构第二讲&#xff1a;顺序表 1.线性表2.什么是顺序表3. 静态顺序表4.动态顺序表4.1顺序表基础4.2顺序表的初始化4.3顺序表的销毁4.4顺序表的尾插4.5顺序表的头插4.6顺序表的尾删4.7顺序表的头删4.8顺序表在指定位置之前插入数据4.9顺序表删除指定位置的数据4.10顺序表查找…

JNPF全新V5.0版本!重磅升级——全局优化篇

尊敬的JNPF用户们&#xff1a; 我们非常高兴地宣布&#xff0c;经过团队数月的辛勤努力和不断的技术创新&#xff0c;JNPF快速开发平台终于迎来了里程碑式的全新升级——V5.0版本&#xff01;这一版本的更新发布&#xff0c;不仅代表着我们技术实力的进一步提升&#xff0c;是…