案例描述
2023 年 11 月,某制造业企业员工 Emily 接到海外客户电话,向其核实一封电子邮件的真实性,因为客户认为,该邮件所给出的链接不像是该公司的官网网址。Emily 查看自己的邮箱,并未发现客户所说的邮件。但从客户提供的截图来看,邮件确实是从她的邮箱发出的。Emily 立即向公司网络安全部门报告。网络安全部门通过邮件安全日志审计发现,攻击者早在此前 3 天,就已经成功异地登录了 Emily 的邮箱。有明显迹象表明:攻击者是在仔细研究该公司相关业务及邮件通信习惯后,才使用 Emily 的邮箱给客户发送了一封精心伪装的钓鱼邮件。
不仅如此,攻击者还冒充公司某内部职能部门,给十余位同事发送了其他内容的钓鱼邮件,已经有多位同事点开了钓鱼链接,多个相关账号已被异地异常登录。被盗邮箱中包含公司多份商业机密数据文件,疑似已被泄露。
攻击者在使用 Emily 的邮箱发送多封钓鱼邮件后,又及时将本地和云端的发件箱中的钓鱼邮件删除,从而延缓了 Emily 发现邮箱被盗用的时间。这也是为何 Emily 没有在发件箱中找到客户所述邮件的原因。
该公司网络安全部门立即采取了紧急措施来控制损失,包括强制所有员工重置密码,启用双因子认证,并对内部网络进行了彻底的安全排查。这一事件虽然暂未给公司带来直接的经济损失,但已有重要商业机密被窃取,同时也失去了重要客户的信任。
那么,Emily 的邮箱是如何被盗的呢?调查显示,Emily 的邮箱密码并非流行弱口令,但密码复杂度不高,理论上是可以进行暴力破解的。而该公司邮箱也设置了一些基础的防暴破措施,如限制了短时间内同一 IP 的登录次数。
但是,邮件安全系统日志显示,自 2023 年 10 月初,攻击者就一直在尝试对 Emily 的邮箱进行暴力破解。只不过,这个黑产团伙拥有一个庞大的动态 IP 池(疑似僵尸网络),可以在全球范围内动态更换 IP 地址,仅日志系统记录的用于爆破 Emily 邮箱账号的 IP 地址就有 1 万多个。黑产团伙还设计了一个自动化脚本,利用 IP 池对 Emily 的邮箱账号进行暴力破解,持续更换 IP 对 smtp 端口进行登录尝试。为了避免触发邮箱服务的安全警报,他们对每个 IP 地址的尝试次数进行了限制,并确保每次尝试之间有一定的时间间隔。经过数周的不懈尝试,这个黑产团伙最终于事发前三天完成爆破,登录成功。
下图是系统记录的攻击者的爆破记录,其中标红的就是爆破成功的记录。
事实上,发生在 Emily 身上的事件并非个例。动态 IP 池的存在让黑产团伙能够在全球范围内针对各行各业进行网络攻击,从盗取个人信息到暴力破解邮箱账号,无所不用其极。而传统的基于 IP 频率限制的安全策略已经不够用了。攻击者可以通过不断更换 IP 地址来规避这种限制,使得这种防御措施变得无效。因此,需要从更根本的层面加强防护。
鉴别方法
想要全面杜绝基于动态 IP 池的网络爆破,需要采用一些高级的网络安全技术,如双因子认证、弱口令检测、零信任体系等。但对于已经被盗号的邮箱发出的钓鱼邮件,还是有一定方法可以识别的 。
1. 对于邮件中包含的网址链接,一定要认真核对,以确保网址是合法的。
2. 公司职能部门发送的邮件,通常都是大面积群发的,如果只是有少数几个收件人,就应当更加谨慎的甄别邮件的真实性,最好向相关部门负责人进行核实。
3. 如果邮件链接要求输入账号登录或输入个人信息,应核实页面网址是否为 https 开头。如若不是,则极为可能是钓鱼邮件。
4. 如果邮件内容涉及财务账号变更、交易支付等敏感内容,最好通过电话、社交软件等邮件之外的方式向对方核实信息的真实性、有效性。
参考来源:邮件攻击案例系列三:动态 IP 池爆破员工邮箱钓鱼重要客户 | MailABC邮件知识百科