今天,带大家来防御钓鱼邮件。
钓鱼邮件,即一种伪造邮件,是指利用伪装的电子邮件,来欺骗收件人点击恶意URL,或诱导收件人下载带恶意程序的可执行文件。
对于恶意URL,通常会伪装成和真实网站一样,比如银行或理财的网站,从而骗取收件人的银行卡号码、账户名称及密码等敏感信息。也可能是构造了恶意网站,利用收件人浏览器或系统其他组件漏洞,达到控制收件人电脑的目的。
对于下载恶意软件,很明了,就是想让你运行,在你电脑上运行恶意程序。
钓鱼邮件的主要特点:以公司某部门的名义,如安全部、综合部,使用正式的语气,内容涉及到账号和密码等敏感信息,可能带有链接地址或附件,制造紧张氛围,比如24小时内今日下班前完整账号密码修改。
如下图:
我们来分析这封钓鱼邮件,一是以集团安全组的名义进行下发,二是邮件内容很正式,行文符合收件人公司的习惯,这是下了很大功夫的,三是正文中包含一个链接,四是需要你修改后回复邮件,制造了紧张氛围。
你也可能会说,平时集团发的邮件也是这个样子的啊?对,现实就是这么严峻。
如何识别钓鱼邮件呢?
1、先看发件人:
一种很简单的方法,有的邮件会提示你邮件由另一个邮箱代发,或者邮箱地址不是本公司的,比如china.com的域名,发件人却是chiina.com,再或者邮箱地址是qq或者163等个人邮箱的,那就更没跑了,钓鱼邮件无疑。
但是我上面那个打码的例子,发件人的邮箱初步看确实是集团安全组的,是因为攻击者更改了From信息,但这已经是从Foxmail里点击了邮件详情了,照样没露出攻击者的马脚。这时我们通过网页版的邮箱查看邮件详细信息,并不是说非是网页版才能看到,只是Foxmail没显示邮件的详细信息而已。我用的qq邮件的详细信息:
From: "=?gb18030?B?Ij48aW1nIHNyYz0xIG9uZXJyb3I9YWxlcnQoMSk+?=" <×××××××××@qq.com>
To: "=?gb18030?B?gTesNc7i0KHDyIE3rDU=?=" <×××××@qq.com>
Subject: =?gb18030?B?udi69bn6vNK088rC?=
Mime-Version: 1.0
Content-Type: multipart/alternative;boundary="----=_NextPart_5EB50A93_10F6DD20_58D07F72"
Content-Transfer-Encoding: 8Bit
Date: Fri, 8 May 2020 15:30:27 +0800
但是其实那个页面,发送者的邮箱只和收件人的邮箱域名只差了一位,不认真看也是看不出来的。
为什么不直接使用收件人的邮箱域名发呢?因为可能有认证导致邮件发送失败,或者和我们公司那样,第一封钓鱼邮件的发件人是我们公司真实的邮箱地址,可以发送成功,但是可能触发了某种检测机制,导致之后使用真实邮箱作为发件人地址发送会被邮件网关丢弃,只能使用改一下的邮件域名作为地址才能发送。所以看发件人邮件地址,还是能识别出很多钓鱼邮件的。
2、看内容
从第一封邮件的截图可以看出,邮件命中了很多危险因素:以集团安全组(大的部门)的名义进行下发,以修改密码(敏感信息)为邮件主要目的,存在URL地址,要求更改后回复邮件(制造紧张氛围)。这大概率就是钓鱼邮件了。
3、核查
假的,是经不起核查的。如果是普通同事发送的邮件,我们感觉有疑,可以打电话或者微信询问邮件真实性,这就好像微信好友找你借钱,一般都会让他们发句语音来识别身份一样。如果是公司职能部门下发的统一要求,应该在企业微信或钉钉上同步通知员工,从而排除钓鱼邮件的疑惑,毕竟你们和钓鱼邮件的文案过于类似[狗头]。
长按下方图片关注我们: