一次黑客利用钓鱼邮件成功攻破用户密码的事件
事件概述
2024年5月23日,公司多个用户密码被盗,触发了多次系统告警。幸好在最后的护栏如多次验证等设置下,成功拦下了系统入侵。也是停用了多个用户账号,重置密码,忙活半天,惊了一身汗水。
事件分析
这是一起典型的钓鱼邮件攻击,黑客利用用户对客户或供应商的信任,伪造了一封看起来合法的邮件,诱导用户点击链接,从而获取用户的敏感信息。
攻击过程:
- 从已经被突破的正常的商业邮箱对所有的供应商或客户群发,内容与正常的企业活动高度相关。因为邮件来自日常的供应商,收件人警惕性大为降低。
- 邮件中的链接使用微软的OneDrive的链接,躲过邮件服务器中基于链接的扫描。因为OneDrive与SharePoint是常用的企业交换文件的方法,所以基于链接的扫描基本都会放过这种链接。这个文件显示需要点击另一个链接查看文件。
- 在下一个链接中,伪装出微软的登录界面,与用户平时见到的页面观感一致。警惕的用户如果看一下地址栏,会发现此时不是在微软的网站地址里。但是要用户甄别微软的登录地址,的确有点强人所难,就是你凉不丁问我,也回答不出登录时微软登录时用到的地址。
在这个地址上,如果用户输入用户名与密码,黑客就成功地取得的登录你的系统的第一把钥匙。
- 在黑客获得密码非常短的几分时间里,他们尝试用多个不同的IP地址登录,企图登录系统,取得信息。如果你的系统仅使用用户名与密码登录,此时就玩完。管理员不可能在此时做任何事情。
- 管理员那边收到的警告是这样的。问题是管理员每天收到大量类似的告警,要一一甄别就要花费大量的时间。基本上管理员在对黑客攻击处于弱势地位,就如同每天面对一堆蚊子,但是其中一个蚊子带有致命的病菌。
事件预防
为了防止自己成为钓鱼邮件的受害者,用户应该注意以下几点:
- 不要轻信邮件中的紧急或威胁的信息,不要随意点击邮件中的链接,不要在不确定的网站上输入自己的敏感信息。
- 检查邮件的发件人和链接的地址,是否与正规的机构或网站一致,是否有拼写错误或多余的字符。
对于企业来说,用户多了,总是有人会被类似的钓鱼钓到
- 使用企业级的服务,支持最新的防护机制(看到很多小公司甚至还在使用ISP提供的免费邮箱,连多重验证都没有)
- 启用多重验证与条件访问等最佳安全措施(咨询聘请有经验的管理员)
