近日,亞信安全發(fā)現(xiàn)一波針對性攻擊/鎖定目標(biāo)攻擊(Targeted attack )的詐騙活動,攻擊活動由一封郵件開始,偽冒某公司的高級管理人員寄給其它管理人員(例:財(cái)務(wù)部經(jīng)理)。與一般詐騙攻擊或是網(wǎng)絡(luò)釣魚(Phishing)郵件不同的是,這封郵件沒有任何的附件或是網(wǎng)址鏈接,但其郵件頭已遭到修改,導(dǎo)致收件人回復(fù)之后會把郵件寄給攻擊者。若不經(jīng)仔細(xì)檢查,很難發(fā)現(xiàn)隱藏在其中的陷阱。亞信安全在此提醒廣大用戶和公眾,請?jiān)诨貜?fù)郵件前務(wù)必確認(rèn)郵件的真實(shí)性,謹(jǐn)慎點(diǎn)擊來自偽裝高管的詐騙郵件,以防范新型針對性攻擊襲來。
根據(jù)亞信安全云安全智能防護(hù)網(wǎng)絡(luò)所搜集到的信息,僅僅在九月份,就有至少40家公司被攻擊。
技術(shù)細(xì)節(jié)與解決方案
1. “From”與“To”使用相同的域名,使他看起來像是一封內(nèi)部郵件,例:CompanyX.com寄給CompanyX.com。
2. “From”與“Reply-To”的域名不同,例:”From”是CompanyX.com,而“Reply-To”是類似gmail.com或其他外部域名。
3. 目前發(fā)現(xiàn)“Workspace Webmail”及“Roundcube Webmail”在這類攻擊中常被使用。
4. Email容量不大,不容易被懷疑。
5. Email內(nèi)常包含某些特定字詞像是“wire”或“transfer”。
6. “Reply-to”欄位常包含“executive”或“ceo”或“chief”等關(guān)鍵字。
詐騙攻擊郵件樣本
回復(fù)郵件時,收件人為外部域名郵箱
有鑒于該類型詐騙郵件嚴(yán)重的安全威脅,亞信安全技術(shù)總監(jiān)蔡昇欽建議:”客戶在回復(fù)郵件前,請務(wù)必確認(rèn)郵件的真實(shí)性,即使郵件聲明由公司高層管理者發(fā)來,也不要輕易相信,而是應(yīng)仔細(xì)核實(shí)郵件內(nèi)容以及郵件地址的真實(shí)性,必要的時候可以用電話等方式進(jìn)行確認(rèn)。如果該郵件的“mail from”與“reply-to”是不同的郵箱地址,那就務(wù)必提高警覺,因?yàn)樵撪]件很有可能是一封詐騙郵件。”
據(jù)了解,亞信安全Email信譽(yù)評等(ERS, Email Reputation Services)技術(shù)的團(tuán)隊(duì)已更新了病毒碼,可以偵測此類型攻擊,企業(yè)用戶可以部署具備ERS技術(shù)的亞信安全“郵件安全解決方案”來進(jìn)行防范。如用戶發(fā)現(xiàn)任何攻擊郵件未被偵測,請立即向亞信安全技術(shù)響應(yīng)中心匯報(bào)。