欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

企业邮件安全防护经验总结

来源:本站整理 作者:佚名 时间:2017-02-25 TAG: 我要投稿

I. 邮件是网络攻击的首要突破口

邮件作为企业(特别是传统和大型企业)的主要沟通工具关键程度日益提升,同时安全问题也日益益突出。邮件协议缺乏认证和安全鉴别机制,因此天然具备防追踪和高性价比的特性,邮件已经成为电信诈骗、勒索软件攻击的主要途径。目前大众普遍认为邮件安全就是钓鱼攻击(phishing),其实邮件安全的领域很广,本文基于工作中的知识与大家多维度分享一下。

首先介绍四种邮件仿冒技术

a. 仿冒发件人别名-难度指数*

利用邮件账号的别名字段属性,使用公用邮箱(比如Gmail)仿冒他人账号,此类仿冒邮件占比最高,同时因为实际发件人地址真实存在,可以进行交互式诈骗。

Example

From: Steve Jobs < sjobs@banana.com >(而不是sjobs@apple.com)

b. 仿冒发件人-难度指数**

利用邮件协议的认证缺陷(实际加强安全协议已经存在,但是普及率不高),使用真实的发件人地址和别名,给受害人发送邮件。优点是受害人毫无抵抗能力,全是真货、真货、真货;缺陷是攻击者不能收到受害者的邮件回复,需要结合恶意链接或附件达到攻击目的。

Example

From: Steve Jobs < sjobs@apple.com >(搭建或租用恶意邮件服务器)

c. 相似域名仿冒-难度指数 **

抢注相似域名,比如app1e(不是L,是数字1),然后就可以按照套路操作了。

缺点是注册域名、配置邮件服务等太麻烦,而且容易留下作案痕迹;而且大公司都有brand监控服务,相似域名已经抢注或在监控范围内了(域名注册商有这项服务)。

Example

From: Steve Jobs < sjobs@app1e.com >

d. 仿冒回复人-难度系数 ****

利用邮件header中的Reply to字段,结合仿冒真实发件人攻击,做到真实发件人地址从互联网恶意发送,受害者邮件回复送达Gmail邮箱。

Example

From: Steve Jobs < sjobs@apple.com >(搭建或租用恶意邮件服务器)

Reply To: hacker@gmail.com (此字段在邮件客户端隐藏,但是可以通过文本或定制软件修改)

基于攻击类型可以概括为三类

1. 勒索软件攻击

全球41%的企业遭受勒索软件的攻击,其中70%的受害者选择了支付赎金。无论是撒网攻击还是定向攻击,电子邮件是最常见的传递方式,占比为59%,其次是网站、社交媒体和受感染的存储。常见的商业诈骗主题包括发票、发货信息、逾期账户等。

勒索软件服务RAAS (Ransomware as a Service)已经非常成熟,注册一个比特币账号就可以坐等收钱了(参照流行的付费问答平台:只要剧本够好,用户群定位精确,稳赚不赔)。

2016年堪称勒索软件元年,截止第三季度已经发现380万+恶意样本。中国企业也已经成为勒索软件的受害者,同时RAAS已经成为行业恶意竞争中的又一利器(熟知的还有DDoS)-勒索软件的招式之猥琐,后果之严重可想而知!

2. 商业邮件诈骗(BEC)BEC- Business Email Compromise .

商业邮件诈骗又叫老板诈骗,与‘我是你领导’电话诈骗如出一辙(还有QQ群,微信群中的马甲领导)。

a.海外商业规则基于签名的合同、电子转账(比如企业信用卡,支票),因此邮件诈骗的套路才是最纯正的,过程不再赘述。

b.中国商业规则是基于盖章的合同和纸质发票,从游戏规则推导中国是对邮件诈骗具有免疫力的; 但是中国的邮件诈骗是极具中国特色的:领导为尊的习惯导致案例频发,领导要求财务员工转账时就违规操作了(忽略身份验证和流程签批)。

这类邮件攻击通常安全团队可以免责,不是狭义信息安全的范畴!

3. 仿冒企业邮件

以企业的名义对外发送钓鱼邮件,特别是仿冒电子商务企业(淘宝、京东、亚马逊等)、公共事业(公检法,12306等)发送钓鱼邮件时危害极大。此类攻击对企业不产生直接影响,但是间接影响企业声誉。

II.  邮件安全防护策略

本章节的防护措施都是战术层面的被动响应,其实IETF已经发布了邮件安全协议,企业可以从架构设计出发来防护邮件。

允许我套路一下-NIST framework:  识别,防护,监测,响应,恢复。

1. 识别风险

资产识别-邮件安全的核心是账号和邮件内容,可以采用一些策略降低资产的暴露面。

一个小技巧就是邮件别名(alias,相当于多个邮件地址对应一个inbox实例),Gmail邮箱默认支持别名设置,商业邮箱方案和ISP的邮箱策略也允许别名。邮箱地址作为商业联系方式属于公开信息,商业别名可以有效保护邮件账号,增加获取账号和密码的复杂度。

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载