一次黑客利用钓鱼邮件成功攻破用户密码的事件

打印 (被阅读 次)

 

一次黑客利用钓鱼邮件成功攻破用户密码的事件

事件概述

2024年5月23日,公司多个用户密码被盗,触发了多次系统告警。幸好在最后的护栏如多次验证等设置下,成功拦下了系统入侵。也是停用了多个用户账号,重置密码,忙活半天,惊了一身汗水。

事件分析

这是一起典型的钓鱼邮件攻击,黑客利用用户对客户或供应商的信任,伪造了一封看起来合法的邮件,诱导用户点击链接,从而获取用户的敏感信息。

攻击过程:

  1. 从已经被突破的正常的商业邮箱对所有的供应商或客户群发,内容与正常的企业活动高度相关。因为邮件来自日常的供应商,收件人警惕性大为降低。

 

 

  1. 邮件中的链接使用微软的OneDrive的链接,躲过邮件服务器中基于链接的扫描。因为OneDrive与SharePoint是常用的企业交换文件的方法,所以基于链接的扫描基本都会放过这种链接。这个文件显示需要点击另一个链接查看文件。

  1. 在下一个链接中,伪装出微软的登录界面,与用户平时见到的页面观感一致。警惕的用户如果看一下地址栏,会发现此时不是在微软的网站地址里。但是要用户甄别微软的登录地址,的确有点强人所难,就是你凉不丁问我,也回答不出登录时微软登录时用到的地址。
    在这个地址上,如果用户输入用户名与密码,黑客就成功地取得的登录你的系统的第一把钥匙。
  1. 在黑客获得密码非常短的几分时间里,他们尝试用多个不同的IP地址登录,企图登录系统,取得信息。如果你的系统仅使用用户名与密码登录,此时就玩完。管理员不可能在此时做任何事情。

 

  1. 管理员那边收到的警告是这样的。问题是管理员每天收到大量类似的告警,要一一甄别就要花费大量的时间。基本上管理员在对黑客攻击处于弱势地位,就如同每天面对一堆蚊子,但是其中一个蚊子带有致命的病菌。

alpha123 发表评论于
谢谢
一个没有惊艳的老树 发表评论于
谢谢分享!
登录后才可评论.