1、 钓鱼邮件威胁情报
2018年9月7日,Coremail CAC安全,发现有一种新型的钓鱼邮件正在呈现扩散趋势,由于该钓鱼邮件的伪装程度较高,部分用户容易轻信误点击钓鱼链接。此类邮件通常会伪装成企业内部的用户,向其他内部用户发送钓鱼邮件。链接通常是一个绿色的按钮,误点击链接的用户会被窃取历史收发邮件的主题信息,进一步向企业内部其他人发送钓鱼邮件。利用历史收发邮件的主题信息,进一步迷惑其他用户,造成钓鱼邮件进一步扩散。
该钓鱼邮件中的链接会将用户引导至恶意网页。恶意网页可能会有多种情况,但在每种情况下都是恶意的:
情况1:恶意页面会提示用户目前系统存在危险,需要点击下载安全防御工具,该工具实际上是一个木马程序,下载安装后会窃取用户信息。
情况2:恶意页面会提示一个类似中奖的页面,通过点击“OK”的按钮迷惑用户,让用户在不知情在情况下点击该按钮,然后下载木马程序,窃取用户信息。
情况3:恶意页面会伪装成可信页面在样子,提示用户输入自己的账号,窃取用户登录信息。
2、 CAC安全,采取的应对措施
由于此类钓鱼邮件伪装多变,Coremail CAC安全,在此类钓鱼邮件传播的每个环节都采取针对性的应对措施。同时,请各位邮箱管理员及时通知域内用户,提前预防风险,避免误点击钓鱼链接。
Ÿ 钓鱼邮件发信源头:截至2018年9月11日,CAC安全,已抓取了十多万条对应的恶意链接,并将其加入到黑名单库,为客户拦截了大部分的钓鱼邮件。在系统侧屏蔽可疑IP,增加IP黑名单,CAC安全,抓到一些可疑IP,如有需要,请与CAC安全,联系。
Ÿ 钓鱼邮件传递过程:针对钓鱼邮件的内容特征,CAC安全,在运营平台已经添加相应的关键字规则进行拦截。通知邮箱管理员创建关键字规则(勾选使用正则表达式):
1) 匹配条件 — 正文:(?i).*(cannot|unable to) (show|display) this (message|email).*
2) 操作:丢弃(或拒绝投递)
Ÿ 钓鱼邮件进入用户邮箱:针对已经受到钓鱼邮件严重影响的,客户,提供深度过滤工具,协助客户进行二次过滤,防止钓鱼邮件进入收件箱。
Ÿ 用户误点击钓鱼邮件:用户如果误点击了相关链接,请对本机系统进行杀毒扫描,同时更换该邮箱账号的密码,并密切关注是否有异常IP登陆该邮箱账号。
3、 客户可采取的防范及应对措施
Ÿ 邮箱管理员
1) 在系统侧屏蔽可疑IP,增加IP黑名单,CAC安全,抓到一些可疑IP,如有需要,请与CAC安全,联系。
2) 创建关键字规则(勾选使用正则表达式):
(1)匹配条件 — 正文:(?i).*(cannot|unable to) (show|display) this (message|email).*
(2)操作:丢弃(或拒绝投递)
Ÿ 普通邮箱用户
1) 普通邮箱用户日常使用邮箱时请注意此类邮件,如果发现类似或者可疑的邮件,不要轻易点击链接,并及时通知管理员。
2) 用户如果误点击了相关链接,请给自己的机器进行杀毒,同时更换自己的邮箱密码,并密切关注是否有异常IP登陆自己的邮箱。
更多问题,请联系Coremail等专业厂商提供进一步技术支持。
声明
版权声明
本文档版权归论客科技(广州)有限公司所有,并保留一切权利。未经书面许可,任何公司和个人不得将此文档中的任何部分公开、转载或以其他方式散发给第三方。否则,必将追究其法律责任。
免责声明
本文档仅提供阶段性信息,所含内容可根据产品的实际情况在公司网站随时更新,恕不另行通知。如因文档使用不当造成的直接或间接损失,本公司不承担任何责任。
文档更新
本文档由论客科技(广州)有限公司于2018年9月,修订。