CAC安全中心威胁情报——一种新型钓鱼邮件威胁与应对策略

1、 钓鱼邮件威胁情报2018年9月7日,Coremail CAC安全中心发现有一种新型的钓鱼邮件正在呈现扩散趋势,由于该钓鱼邮件的伪装程度较高,部分用户容易轻

1、 钓鱼邮件威胁情报

2018年9月7日,Coremail CAC安全中心发现有一种新型的钓鱼邮件正在呈现扩散趋势,由于该钓鱼邮件的伪装程度较高,部分用户容易轻信误点击钓鱼链接。此类邮件通常会伪装成企业内部的用户,向其他内部用户发送钓鱼邮件。链接通常是一个绿色的按钮,误点击链接的用户会被窃取历史收发邮件的主题信息,进一步向企业内部其他人发送钓鱼邮件。利用历史收发邮件的主题信息,进一步迷惑其他用户,造成钓鱼邮件进一步扩散。

该钓鱼邮件中的链接会将用户引导至恶意网页。恶意网页可能会有多种情况,但在每种情况下都是恶意的:

情况1:恶意页面会提示用户目前系统存在危险,需要点击下载安全防御工具,该工具实际上是一个木马程序,下载安装后会窃取用户信息。

情况2:恶意页面会提示一个类似中奖的页面,通过点击“OK”的按钮迷惑用户,让用户在不知情在情况下点击该按钮,然后下载木马程序,窃取用户信息。

情况3:恶意页面会伪装成可信页面在样子,提示用户输入自己的账号,窃取用户登录信息。

2、 CAC安全中心采取的应对措施

由于此类钓鱼邮件伪装多变,Coremail CAC安全中心在此类钓鱼邮件传播的每个环节都采取针对性的应对措施。同时,请各位邮箱管理员及时通知域内用户,提前预防风险,避免误点击钓鱼链接。

Ÿ 钓鱼 邮件发 源头: 截至2018年9月11日,CAC安全中心已抓取了十多万条对应的恶意链接,并将其加入到黑名单库,为客户拦截了大部分的钓鱼邮件。在系统侧屏蔽可疑IP,增加IP黑名单,CAC安全中心抓到一些可疑IP,如有需要,请与CAC安全中心联系。

Ÿ 钓鱼 邮件传 递过程 针对钓鱼邮件的内容特征,CAC安全中心在运营平台已经添加相应的关键字规则进行拦截。通知邮箱管理员创建关键字规则(勾选使用正则表达式):

1) 匹配条件 — 正文:(?i).*(cannot|unable to) (show|display) this (message|email).*

2) 操作:丢弃(或拒绝投递)

Ÿ 钓鱼 邮件 进入 用户邮箱: 针对已经受到钓鱼邮件严重影响的重点客户,提供深度过滤工具,协助客户进行二次过滤,防止钓鱼邮件进入收件箱。

Ÿ 用户 误点击钓鱼邮件: 用户如果误点击了相关链接,请对本机系统进行杀毒扫描,同时更换该邮箱账号的密码,并密切关注是否有异常IP登陆该邮箱账号。

3、 客户可采取的防范及应对措施

Ÿ 邮箱管理员

1) 在系统侧屏蔽可疑IP,增加IP黑名单,CAC安全中心抓到一些可疑IP,如有需要,请与CAC安全中心联系。

2) 创建关键字规则(勾选使用正则表达式):

(1)匹配条件 — 正文:(?i).*(cannot|unable to) (show|display) this (message|email).*

(2)操作:丢弃(或拒绝投递)

Ÿ 普通邮箱用户

1) 普通邮箱用户日常使用邮箱时请注意此类邮件,如果发现类似或者可疑的邮件,不要轻易点击链接,并及时通知管理员。

2) 用户如果误点击了相关链接,请给自己的机器进行杀毒,同时更换自己的邮箱密码,并密切关注是否有异常IP登陆自己的邮箱。

更多问题,请联系Coremail等专业厂商提供进一步技术支持。

声明

版权声明

本文档版权归论客科技(广州)有限公司所有,并保留一切权利。未经书面许可,任何公司和个人不得将此文档中的任何部分公开、转载或以其他方式散发给第三方。否则,必将追究其法律责任。

免责声明

本文档仅提供阶段性信息,所含内容可根据产品的实际情况在公司网站随时更新,恕不另行通知。如因文档使用不当造成的直接或间接损失,本公司不承担任何责任。

文档更新

本文档由论客科技(广州)有限公司于2018年9月最后修订。