日期:2021年10月09日
背景:
近期有用戶反饋客戶收到偽造他郵箱內(nèi)容一致的郵件,導(dǎo)致款項直接打到黑客的賬號上,后經(jīng)查詢是郵箱被盜,為此希望大家加強安全意識,避免造成不必要的損失。
一、郵箱安全預(yù)防措施
1、 首先大家要郵箱綁定手機號,這樣有任何的異常登錄都會第一時間發(fā)到手機。
2、 其次縮短更改郵箱密碼的周期,一個月或三個月定時修改,密碼一定要高強度,大小寫,字符,數(shù)字等組合,高強度密碼一般很難被黑客破解。
3、 不打開有安全隱患的網(wǎng)站,避免不必要的風險,定時查殺病毒和木馬。
4、 例如下圖,就是一封釣魚郵件,假如用戶點擊鏈接,輸入密碼后,那么用戶的密碼就會上傳到釣魚網(wǎng)站,從而發(fā)生被盜的情況。
二、郵箱被盜的自行檢查處理方式。
1、登錄到webmail,在設(shè)置自助查詢中,查看是否有異常登錄的ip地址。
2、用本地殺毒設(shè)備進行殺毒掃描,清理木馬。黑客可能沒有獲取郵箱賬號密碼,但監(jiān)控了用戶的電腦的情況。
3、檢查郵箱是否有設(shè)置自動轉(zhuǎn)發(fā),如果發(fā)現(xiàn)有設(shè)置,且確認不是本人設(shè)置,請取證后,盡快刪除。
5、 檢查收信規(guī)則里面是否有設(shè)置自動轉(zhuǎn)發(fā)。(一般都是空的,除非自己有設(shè)置,如果不是自己設(shè)置的就要注意了)
5、以上都沒問題的話,基本能排除不是用戶郵箱被盜導(dǎo)致,可能是客戶那邊郵箱出了安全問題,所以要及時跟客戶溝通,涉及資金賬號問題的變更要新增幾種驗證方式,不能只憑一封郵件就輕易變更銀行賬戶。
三、偽造郵件區(qū)分
1、偽造郵件通常有兩個地址,在web端我們?nèi)菀讌^(qū)分,其他客戶端可能區(qū)分不出來,出現(xiàn)下面圖片顯示的情況,一定要及時跟合作方聯(lián)系確認郵件內(nèi)容,千萬不會回復(fù)這種郵件,一旦跟這種偽造賬號建立了往來郵件的關(guān)系下次就很難對這種郵件進行攔截了。
【舉例】
1)web端的偽造郵件顯示
顯示發(fā)件人地址:service@mail30.lagoujobs.com。
真是發(fā)件人地址:33a0c9fa-a08f-11ea-91ef-525400432308@mail30.lagoujobs.com,有些顯示一個空地址,由null代發(fā),這個需要查看源碼顯示真實地址
2)用foxmail查看下
3)查看下源碼地址,鼠標放到郵件正文中右鍵選擇>>更多操作>>查看郵件源碼
4)1、可以通過源碼查看發(fā)件人真實地址(mailfrom),不可修改,用foxmail查看源碼地址
2、在郵件表頭顯示的發(fā)件人(from),這個可任意修改。
四、釣魚郵件
1、釣魚郵件—惡意偽造阿里郵箱的通知騙取賬號密碼,如銀行或理財?shù)木W(wǎng)頁,令登錄者信以為真,輸入信用卡或銀行卡號碼、賬戶名稱及密碼等而被盜取,還有一些訂單確認、服務(wù)器過期、付款信息等,都要注意下的,阿里郵箱不會主動向用戶發(fā)送需要點擊鏈接改密碼的郵件。
2、釣魚郵件—病毒附件/附帶病毒的超鏈接
1)一種嵌入在郵件中的附件文件進行傳播,另一種就是通過郵件中附帶的鏈接,一旦不小心點擊了病毒文件就會運行,并且自動將病毒程序復(fù)制到更多的正常程序中。
3、 病毒郵件/鏈接下載病毒、
1) 常見現(xiàn)象舉例:
內(nèi)容為訂單、PO報表、付款確認等信息
下載鏈接為不知名域名
下載鏈接與發(fā)件賬號,不同域
嘗試點擊下載鏈接,瀏覽器報錯不安全/威脅信息
下載文件殺毒軟件報錯
文件后綴為exe等可執(zhí)行文件
4、 釣魚郵件、垃圾郵件處理方式:
1) webmail上面設(shè)有垃圾郵件舉報功能,用戶收到釣魚郵件后可以通過該功能進行舉報,鼠標放到郵件正文中右鍵。反垃圾部門會對郵件做相應(yīng)處理優(yōu)化
2) 當然,也提供郵件eml格式的原件樣本,確認是釣魚郵件后,我們會更新釣魚庫,優(yōu)化規(guī)則。
3)另外管理員可以設(shè)置郵件過濾、正文內(nèi)容,將包含關(guān)鍵字的過濾掉,域管后臺-安全管理-郵件過濾
4)反垃圾級別設(shè)置為高以上,webmail-設(shè)置-反垃圾選項
五、總結(jié)注意事項:
1) 不點擊不明鏈接及下載附件
2) 不輕易在不明網(wǎng)站上輸入賬號密碼
3) 不回復(fù)垃圾或未知來源郵件
4) 有大額匯款信息的。一定要通過電話方式與合作方確認無誤后再做打款
