近期,大批國內外貿企業遭遇“商貿信”釣魚攻擊,并有呈爆發式增長的趨勢,據統計,國內受商貿信攻擊者主要集中在長三角、珠三角、臺灣等外貿行業相對發達的地區。
“商貿信”釣魚攻擊并非新型的釣魚郵件攻擊手段,自2017年年末時第一次爆發至今,263企業郵箱已持續監測到多次“商貿信”病毒的大范圍攻擊。其主要攻擊目標瞄準進出口企業、制造業等涉及外貿交易的企業,利用微軟的office漏洞或宏代碼制作誘餌文檔,偽裝成諸如訂單確認、價格咨詢等文件,通過郵件在全球外貿行業內大肆傳播。一旦用戶不慎下載并運行釣魚郵件的誘餌文檔,就會被植入遠控木馬,企業機密信息將被不法黑客竊取。
下圖為263企業郵箱反垃圾網關識別并隔離出的一封“商貿信”釣魚郵件,該郵件乍看之下只是一封正常票款確認郵件,并且是基于原郵件溝通的答復郵件,但其實發件人的郵箱已被黑客盜取,郵件所含附件是被黑客掉包的誘餌文檔。
黑客會通過“撞庫”獲得目標郵箱的賬號,并使用暴力破解、木馬病毒、釣魚郵件、盜號軟件等手段獲得郵箱的密碼。
密碼一旦被破解,黑客就會持續對目標電子郵箱進行監聽,只要用戶中途不改密碼,黑客甚至可能在用戶毫無感知的情況下持續監聽幾個月或更久。
當黑客發現往來郵件中涉及合同簽訂、款項往來之類的內容時,便會向匯款方發送篡改過內容的新郵件,這封新郵件或許如上圖直接回復在真實往來郵件之上,或會模仿發件人的語氣措辭發起一封新郵件,黑客只要收到款項便會立刻將錢款轉移,用戶再難追蹤。“商貿信”釣魚攻擊的手段隱蔽,誘惑性極強,用戶稍有不慎便會“中招”。
因“商貿信”釣魚攻擊主要針對外貿行業,263企業郵箱鄭重提醒外貿企業客戶需重視企業郵箱安全管理,加強企業內部對于郵件安全的防范意識。
針對釣魚郵件的防范,263企業郵箱建議企業用戶和管理員:
1、建立入侵檢測系統,標記那些長得和自己公司域名很相似的郵件,并記錄那些和真實公司域名長得類似的山寨域名;
2、涉及到資金交易時,需多方面校驗,最好追加電話進行再次確認,在核實信息前謹慎點擊可疑郵件內的鏈接和附件;
3、了解客戶的郵件習慣和資金往來流程,包括所需資金的總數,以及每筆轉賬背后的原因;
4、將手機號與263企業郵箱進行綁定,當郵箱異地登陸、修改密碼、自動轉發被設置時,及時收到免費的短信提醒;
5、建議企業郵箱管理員設置登陸限制IP段,即使黑客竊取密碼也無法登錄郵箱。
6、建議企業郵箱管理員定期要求員工修改郵箱密碼,并定期查看異常登錄、弱密碼等系統日志,確保域內賬號安全。
針對本次釣魚攻擊的爆發,263企業郵箱已啟動全面的系統排查,確認不會因系統原因導致用戶密碼被盜。在釣魚郵件排查方面,263企業郵箱的智能反垃圾技術可識別各種類型垃圾郵件,對包含疑似病毒、釣魚、打款、偽造信息的郵件增加安全提醒標識,同時,還設有定時垃圾郵件提醒信,確保正常業務郵件不被錯判。
263郵箱產品總監杜鳴建議所有用戶,收到可疑郵件切勿隨意點擊其中的超鏈接及附件,及時升級Office軟件、修復漏洞,以防不法黑客攻擊。
