近日,有媒體公開(kāi)報(bào)道稱,知名互聯(lián)網(wǎng)公司搜狐全體員工在5月18日早晨收到一封來(lái)自公司內(nèi)部名為《5月份員工工資補(bǔ)助通知》的郵件,部分員工按照附件要求掃碼,并填寫(xiě)了銀行賬號(hào)等信息,最終不但沒(méi)有等到所謂的補(bǔ)助,工資卡內(nèi)的余額也被劃走。
對(duì)此,搜狐公司董事局主席兼CEO張朝陽(yáng)在個(gè)人微博上回應(yīng)稱,該事件系某員工郵箱賬號(hào)被竊取所致,且沒(méi)有想象中那么嚴(yán)重。事發(fā)后技術(shù)部門(mén)第一時(shí)間介入了該事件并開(kāi)展了應(yīng)急響應(yīng)動(dòng)作,現(xiàn)金損失在5萬(wàn)元以內(nèi)。
“這是一起典型的釣魚(yú)郵件攻擊事件?!逼姘残判袠I(yè)安全研究中心主任裴智勇就該事件表示,它再次為政企機(jī)構(gòu)郵件安全敲響了警鐘。政企機(jī)構(gòu)需要經(jīng)常對(duì)員工安全意識(shí)教育,進(jìn)行有關(guān)郵件安全的實(shí)戰(zhàn)攻防演習(xí)。同時(shí),企業(yè)郵箱系統(tǒng)需要開(kāi)啟強(qiáng)制弱口令檢測(cè),強(qiáng)制定期改密碼,以最大限度的減輕郵箱盜號(hào)風(fēng)險(xiǎn)。
約6000域名被用于攻擊 “工資補(bǔ)貼”僅為冰山一角
事實(shí)上,這只是郵件釣魚(yú)威脅的冰山一角。根據(jù)奇安信威脅情報(bào)中心的持續(xù)跟蹤,推測(cè)該釣魚(yú)活動(dòng)可能于2021年12月底左右開(kāi)始。自活動(dòng)開(kāi)始以來(lái),約有6000個(gè)域名被用于攻擊中。目前該釣魚(yú)活動(dòng)還在持續(xù)進(jìn)行中,攻擊者仍在不斷更新升級(jí)系統(tǒng),更新基礎(chǔ)設(shè)施。今年2月份,上海某互聯(lián)網(wǎng)公司也曾流傳出“詐騙郵件”的截圖。知情人士向記者透露,該郵件通過(guò)群發(fā)形式傳播到全體員工,多位員工受騙,總計(jì)受騙金額數(shù)萬(wàn)元,雖然受騙員工數(shù)量不是很多,但是傳播范圍很廣。
據(jù)奇安信聯(lián)合Coremail發(fā)布的《2020中國(guó)企業(yè)郵箱安全性研究報(bào)告》顯示,2020年,全國(guó)企業(yè)郵箱用戶共收到各類釣魚(yú)郵件約460.9億封,同比增長(zhǎng)達(dá)33.9%。與釣魚(yú)郵件數(shù)量同時(shí)增長(zhǎng)的還包括帶毒郵件(即郵件附件含有病毒等惡意軟件),數(shù)據(jù)顯示,2020年,全國(guó)企業(yè)級(jí)用戶共收到約492.1億封帶毒郵件,同比增長(zhǎng)了16.0%。
面對(duì)猖獗威脅 部署郵件安全、零信任策略勢(shì)在必行
“面對(duì)日益猖獗的郵件威脅,政企機(jī)構(gòu)應(yīng)部署郵件安全系統(tǒng)?!迸嶂怯聫?qiáng)調(diào),針對(duì)大型企事業(yè)單位在郵件使用場(chǎng)景中可能遇到的高危安全隱患,奇安信集團(tuán)通過(guò)多年來(lái)深耕網(wǎng)絡(luò)安全領(lǐng)域的優(yōu)勢(shì)經(jīng)驗(yàn),結(jié)合海量數(shù)據(jù)研發(fā)出“奇安信網(wǎng)神郵件威脅檢測(cè)系統(tǒng)”,為企業(yè)定制相應(yīng)的檢測(cè)及處置應(yīng)對(duì)解決方案。
據(jù)奇安信郵件安全專家介紹,要想避免此類事件再次發(fā)生,企業(yè)要具備對(duì)惡意釣魚(yú)郵件實(shí)時(shí)檢測(cè)和告警的能力,及時(shí)捕獲惡意釣魚(yú)行為,攔截郵件系統(tǒng)中的病毒郵件,可有效避免或減少損失。
圖:奇安信網(wǎng)神郵件威脅檢測(cè)系統(tǒng)
針對(duì)惡意郵件檢測(cè),奇安信網(wǎng)神郵件威脅檢測(cè)系統(tǒng)具有“更高級(jí)”的能力。首先,奇安信網(wǎng)神郵件威脅檢測(cè)系統(tǒng)基于郵件行為檢測(cè)模型、機(jī)器學(xué)習(xí)模型,能精準(zhǔn)發(fā)現(xiàn)各種類型的釣魚(yú)鏈接,諸如福利補(bǔ)貼、調(diào)查表填寫(xiě)、系統(tǒng)升級(jí)、銀行通知、賬戶驗(yàn)證等等。其次,奇安信網(wǎng)神郵件威脅檢測(cè)系統(tǒng)集成多種病毒檢測(cè)引擎,結(jié)合威脅情報(bào)以及URL信譽(yù)庫(kù),可以對(duì)郵件的鏈接地址進(jìn)行靜態(tài)判定,并對(duì)郵件附件進(jìn)行動(dòng)態(tài)沙箱檢測(cè)判定,高效識(shí)別郵件的惡意鏈接、惡意附件。值得一提的是,機(jī)器學(xué)習(xí)引擎基于云端數(shù)據(jù)可進(jìn)行自主訓(xùn)練,通過(guò)自適應(yīng)學(xué)習(xí)引擎、綜合檢測(cè)引擎及URL增強(qiáng)判定引擎進(jìn)行綜合檢測(cè),在不同的企業(yè)環(huán)境下自適應(yīng)學(xué)習(xí)并準(zhǔn)確高效地檢出釣魚(yú)URL。
此外,奇安信網(wǎng)神郵件威脅檢測(cè)系統(tǒng)還會(huì)通過(guò)海量數(shù)據(jù)建模、多維場(chǎng)景化對(duì)郵件內(nèi)容進(jìn)行關(guān)聯(lián)分析,實(shí)現(xiàn)對(duì)未知的高級(jí)威脅進(jìn)行及時(shí)偵測(cè)。
基于海量郵件數(shù)據(jù),“奇安信網(wǎng)神郵件威脅檢測(cè)系統(tǒng)”還可深挖企業(yè)郵件潛在威脅與線索,包括收發(fā)件異常、暴力破解、單個(gè)IP登陸多個(gè)郵箱、異地登陸等異常場(chǎng)景,并可根據(jù)企業(yè)需求自定義異常場(chǎng)景的檢測(cè)條件。并通過(guò)內(nèi)置龐大的垃圾郵件樣本庫(kù),使用先進(jìn)的智能算法,有效過(guò)濾各種垃圾郵件。
除了具備對(duì)惡意郵件進(jìn)行檢測(cè)的能力之外,“奇安信網(wǎng)神郵件威脅檢測(cè)系統(tǒng)”在事后溯源階段也能發(fā)揮作用。該系統(tǒng)支持郵件數(shù)據(jù)快速檢索,能在第一時(shí)間統(tǒng)計(jì)出“惡意郵件都發(fā)給了誰(shuí)”,幫助企業(yè)快速定位受害者,縮小釣魚(yú)郵件影響面,降低所造成的損失。
分析人士稱,郵件攻擊是針對(duì)企業(yè)最簡(jiǎn)單,但也最有效、最具迷惑性的攻擊方法,并已經(jīng)成為歷屆實(shí)戰(zhàn)攻防演習(xí)攻擊隊(duì)、民間黑客乃至APT團(tuán)伙實(shí)施網(wǎng)絡(luò)入侵的首選方法之一。奇安信安全專家還建議,除了部署郵件安全系統(tǒng)之外,企業(yè)應(yīng)采用零信任策略對(duì)現(xiàn)有網(wǎng)絡(luò)安全架構(gòu)進(jìn)行升級(jí)。首先,收縮網(wǎng)絡(luò)暴露面,確保只有經(jīng)過(guò)強(qiáng)身份驗(yàn)證的合法用戶、可信設(shè)備才能訪問(wèn)企業(yè)應(yīng)用和數(shù)據(jù);另外,零信任強(qiáng)調(diào)持續(xù)驗(yàn)證,持續(xù)構(gòu)建零信任數(shù)據(jù)動(dòng)態(tài)授權(quán)體系;同時(shí),要加強(qiáng)員工的安全教育與培訓(xùn)。企業(yè)要針對(duì)性地幫助員工提升安全意識(shí),進(jìn)行各類實(shí)戰(zhàn)攻防演習(xí)等安全活動(dòng),降低由于員工缺乏意識(shí)或無(wú)意之間的意識(shí)弱化導(dǎo)致的安全風(fēng)險(xiǎn)。
來(lái)源:通信產(chǎn)業(yè)網(wǎng)