造成这种情况的原因有很多种。其中最常见的三种原因是:一、邮箱设置被改动;二、邮箱设置了其他登录认证方式;三、用户电脑感染了病毒。
首先来看邮箱设置被改动的问题。
最为简单的一种连续盗号方式就是攻击者给邮箱设置一些密码找回问题,这样即便用户修改了密码,攻击者仍然可以轻易的找回这些密码,之后继续用该邮箱发送垃圾邮件。
还有一种通过修改邮箱设置用于发送垃圾邮件的方法更为高明,使得攻击者即便不登录受害者邮箱,也能持续对外发送垃圾邮件。如果受害者不明其中机巧,那么无论怎么修改密码或密码找回问题,都无法阻止垃圾邮件的发出。这种巧妙的修改方法就是:给邮箱设置批量的自动转发,并且将某个攻击者指定的邮箱设置为信任邮箱,无条件转发该邮箱发来的所有内容。如此一来,攻击者只要向受害者的邮箱发信,该邮箱就会自动的把攻击者发来的垃圾邮件群发给预先设定好的所有转发对象,而攻击者则无需长期掌握受害者的邮箱密码。下图就是一个邮箱系统的自动转发设置界面截图。
再来看邮箱设置其他登录认证方式的问题。
如果我们假定用户只能在邮箱登录系统中输入帐号和密码进行登录,那么修改了账户密码后,在确保不会再次被盗号的情况下,理论上说攻击者就无法再次登录了。但问题在于,很多企业为了方便办公,会为邮箱设置其他的登录认证方式。
例如:在某些企业的网络系统中,员工使用内部账号或域帐号登录办公网后,系统就会默认该员工邮箱也同时登录成功,而不再进行邮箱密码的验证。如果员工登录办公网的密码没有被强制与邮箱密码同步修改,那么么攻击者就有可能凭借对内部账号或域帐号的登录控制,绕过修改后的邮箱密码,直接操作邮箱系统。
通过我们对企业邮箱安全事件的监测显示,类似问题在企业用户中实际上经常发生。
(三)内外邮件欺诈
对于攻击者来说,盗取企业邮箱的另外一个重要作用,就是用来对该企业的更多邮箱用户实施欺诈,以盗取该企业更多用户的邮箱。特别值得注意的是:对于安全意识较强的用户来说,比对邮箱后缀是最重要的防骗手段之一;但如果攻击者是使用企业内部邮箱欺诈内部员工,可信度和成功率都会大幅提高。
下图是我们2016年7月截获的某航空公司员工邮箱被盗后,向整个公司发出的一份冒充管理员身份OA钓鱼邮件。
事实上,即便是用一个企业的邮箱对另外一个企业的邮箱发送这种诈骗邮件,同样具有一定的迷惑性,如果后缀是edu、org或gov等时,收件人对邮件的信任度也会明显提高。下图是我们2016年9月截获的某组织机构邮箱被盗后,向某教育机构发送钓鱼邮件截图。
还有个别胆大妄为的攻击者,会直接使用内部邮箱,冒充管理员,给企业内部的各个下设管理机构或邮件组发送此类钓鱼欺诈邮件。一旦企业中某个下设的管理机构中招,将直接威胁内网系统中最敏感的信息资料安全。
下图是我们于2016年7月截获的,某个互联网公司被盗邮箱后向该企业各管理机构邮箱发送的OA钓鱼邮件,收件人中不乏IT管理、人力资源、财务管理等高度敏感部门的邮箱。
当然,在某些特殊情况下,被盗的企业邮箱还会被用于更加高级的商业欺诈,如诱骗财务人员汇款,给合作伙伴或客户发送虚假信息等。但这类事件已经接近APT攻击,攻击过程也非常的复杂,本次报告就不进行详细分析了。
(四)第三方帐号被盗
由于某些网络服务,如游戏、支付、iCloud等,会与电子邮箱进行绑定,而很多犯罪分子在盗取了被绑定的邮箱后,就会利用相关网络服务提供的基于邮箱的密码找回、密码重置等功能盗取其他网络服务的帐号和密码,进而盗取用户的游戏装备,网银资产、网上资料(如照片,视频等)。这种攻击在个人邮箱领域经常发生。但如果企业用户使用公司邮箱注册了这些第三方服务,也会面临相同的攻击。
2016年下半年,频繁被媒体曝光的苹果设备锁屏攻击,实际上就是一种非常典型的邮箱盗号攻击。其攻击原理是:苹果设备的帐号,特备iCloud功能通常是与电子邮箱绑定的;同时,苹果安全中心还为用户提供了一种锁屏防盗功能,即用户的iPhone手机或iPad如果被偷走后,用户可以登录安全中心将设备锁死,使盗窃者设备无法正常使用;而苹果锁屏敲诈,则是犯罪分子反向利用了此项防盗功能,在首先盗取用户邮箱账户后,利用iCloud的邮箱密码找回功能,登录苹果安全中心,之后再把用户的所有与该iCloud帐号绑定的苹果设备锁死,并在通知信息中留下自己的电话或QQ,要求用户支付赎金后为其解锁。
下面两张图是我们在网上找到的一些用户苹果手机遭遇此类锁屏敲诈后开机界面。
客户服务监测显示,尽管如前所述,盗号攻击的技术方法有很多,但盗号并非不可避免。企业邮箱系统只要采用某些基本的技术防护措施和管理方法,实际上就可以非常有效的避免95%以上的邮箱盗号事件发生。下面就对这些基本的技术方法和管理措施进行简要的介绍。