CAC安全中心威脅情報 ——一種新型釣魚郵件威脅與應對策略
CAC安全中心威脅情報
——一種新型釣魚郵件威脅與應對策略
1、 釣魚郵件威脅情報
2018年9月7日,Coremail CAC安全中心發現有一種新型的釣魚郵件正在呈現擴散趨勢,由於該釣魚郵件的偽裝程度較高,部分使用者容易輕信誤點選釣魚連結。此類郵件通常會偽裝成企業內部的使用者,向其他內部使用者傳送釣魚郵件。連結通常是一個綠色的按鈕,誤點選連結的使用者會被竊取歷史收發郵件的主題資訊,進一步向企業內部其他人傳送釣魚郵件。利用歷史收發郵件的主題資訊,進一步迷惑其他使用者,造成釣魚郵件進一步擴散。
該釣魚郵件中的連結會將使用者引導至惡意網頁。惡意網頁可能會有多種情況,但在每種情況下都是惡意的:
情況1:惡意頁面會提示使用者目前系統存在危險,需要點選下載安全防禦工具,該工具實際上是一個木馬程式,下載安裝後會竊取使用者資訊。
情況2:惡意頁面會提示一個類似中獎的頁面,通過點選“OK”的按鈕迷惑使用者,讓使用者在不知情在情況下點選該按鈕,然後下載木馬程式,竊取使用者資訊。
情況3:惡意頁面會偽裝成可信頁面在樣子,提示使用者輸入自己的賬號,竊取使用者登入資訊。
2、 CAC安全中心採取的應對措施
由於此類釣魚郵件偽裝多變,Coremail CAC安全中心在此類釣魚郵件傳播的每個環節都採取針對性的應對措施。同時,請各位郵箱管理員及時通知域內使用者,提前預防風險,避免誤點選釣魚連結。
釣魚郵件發信源頭:截至2018年9月11日,CAC安全中心已抓取了十多萬條對應的惡意連結,並將其加入到黑名單庫,為客戶攔截了大部分的釣魚郵件。在系統側遮蔽可疑IP,增加IP黑名單,CAC安全中心抓到一些可疑IP,如有需要,請與CAC安全中心聯絡。
釣魚郵件傳遞過程:針對釣魚郵件的內容特徵,CAC安全中心在運營平臺已經新增相應的關鍵字規則進行攔截。通知郵箱管理員建立關鍵字規則(勾選使用正則表示式):
1) 匹配條件 — 正文:(?i).(cannot|unable to) (show|display) this (message|email).
2) 操作:丟棄(或拒絕投遞)
釣魚郵件進入使用者郵箱:針對已經受到釣魚郵件嚴重影響的重點客戶,提供深度過濾工具,協助客戶進行二次過濾,防止釣魚郵件進入收件箱。
使用者誤點選釣魚郵件:使用者如果誤點選了相關連結,請對本機系統進行防毒掃描,同時更換該郵箱賬號的密碼,並密切關注是否有異常IP登陸該郵箱賬號。
3、 客戶可採取的防範及應對措施
郵箱管理員
1) 在系統側遮蔽可疑IP,增加IP黑名單,CAC安全中心抓到一些可疑IP,如有需要,請與CAC安全中心聯絡。
2) 建立關鍵字規則(勾選使用正則表示式):
(1)匹配條件 — 正文:(?i).(cannot|unable to) (show|display) this (message|email).
(2)操作:丟棄(或拒絕投遞)
普通郵箱使用者
1) 普通郵箱使用者日常使用郵箱時請注意此類郵件,如果發現類似或者可疑的郵件,不要輕易點選連結,並及時通知管理員。
2) 使用者如果誤點選了相關連結,請給自己的機器進行防毒,同時更換自己的郵箱密碼,並密切關注是否有異常IP登陸自己的郵箱。
更多問題,請聯絡Coremail等專業廠商提供進一步技術支援。
宣告
版權宣告
本文件版權歸論客科技(廣州)有限公司所有,並保留一切權利。未經書面許可,任何公司和個人不得將此文件中的任何部分公開、轉載或以其他方式散發給第三方。否則,必將追究其法律責任。
免責宣告
本文件僅提供階段性資訊,所含內容可根據產品的實際情況在公司網站隨時更新,恕不另行通知。如因文件使用不當造成的直接或間接損失,本公司不承擔任何責任。
文件更新
本文件由論客科技(廣州)有限公司於2018年9月最後修訂。
公司網站:
http://www.Coremail.cn
銷售諮詢熱線:400-000-1631
技術支援熱線:400-630-7163
微信服務小程式: