1、 釣魚郵件威脅情報
2018年9月7日,Coremail CAC安全中心發現有一種新型的釣魚郵件正在呈現擴散趨勢,由于該釣魚郵件的偽裝程度較高,部分用戶容易輕信誤點擊釣魚鏈接。此類郵件通常會偽裝成企業內部的用戶,向其他內部用戶發送釣魚郵件。鏈接通常是一個綠色的按鈕,誤點擊鏈接的用戶會被竊取歷史收發郵件的主題信息,進一步向企業內部其他人發送釣魚郵件。利用歷史收發郵件的主題信息,進一步迷惑其他用戶,造成釣魚郵件進一步擴散。
該釣魚郵件中的鏈接會將用戶引導至惡意網頁。惡意網頁可能會有多種情況,但在每種情況下都是惡意的:
情況1:惡意頁面會提示用戶目前系統存在危險,需要點擊下載安全防御工具,該工具實際上是一個木馬程序,下載安裝后會竊取用戶信息。
情況2:惡意頁面會提示一個類似中獎的頁面,通過點擊“OK”的按鈕迷惑用戶,讓用戶在不知情在情況下點擊該按鈕,然后下載木馬程序,竊取用戶信息。
情況3:惡意頁面會偽裝成可信頁面在樣子,提示用戶輸入自己的賬號,竊取用戶登錄信息。
2、 CAC安全中心采取的應對措施
由于此類釣魚郵件偽裝多變,Coremail CAC安全中心在此類釣魚郵件傳播的每個環節都采取針對性的應對措施。同時,請各位郵箱管理員及時通知域內用戶,提前預防風險,避免誤點擊釣魚鏈接。
Ÿ 釣魚郵件發信源頭:截至2018年9月11日,CAC安全中心已抓取了十多萬條對應的惡意鏈接,并將其加入到黑名單庫,為客戶攔截了大部分的釣魚郵件。在系統側屏蔽可疑IP,增加IP黑名單,CAC安全中心抓到一些可疑IP,如有需要,請與CAC安全中心聯系。
Ÿ 釣魚郵件傳遞過程:針對釣魚郵件的內容特征,CAC安全中心在運營平臺已經添加相應的關鍵字規則進行攔截。通知郵箱管理員創建關鍵字規則(勾選使用正則表達式):
1) 匹配條件 — 正文:(?i).*(cannot|unable to) (show|display) this (message|email).*
2) 操作:丟棄(或拒絕投遞)
Ÿ 釣魚郵件進入用戶郵箱:針對已經受到釣魚郵件嚴重影響的重點客戶,提供深度過濾工具,協助客戶進行二次過濾,防止釣魚郵件進入收件箱。
Ÿ 用戶誤點擊釣魚郵件:用戶如果誤點擊了相關鏈接,請對本機系統進行殺毒掃描,同時更換該郵箱賬號的密碼,并密切關注是否有異常IP登陸該郵箱賬號。
3、 客戶可采取的防范及應對措施
Ÿ 郵箱管理員
1) 在系統側屏蔽可疑IP,增加IP黑名單,CAC安全中心抓到一些可疑IP,如有需要,請與CAC安全中心聯系。
2) 創建關鍵字規則(勾選使用正則表達式):
(1)匹配條件 — 正文:(?i).*(cannot|unable to) (show|display) this (message|email).*
(2)操作:丟棄(或拒絕投遞)
Ÿ 普通郵箱用戶
1) 普通郵箱用戶日常使用郵箱時請注意此類郵件,如果發現類似或者可疑的郵件,不要輕易點擊鏈接,并及時通知管理員。
2) 用戶如果誤點擊了相關鏈接,請給自己的機器進行殺毒,同時更換自己的郵箱密碼,并密切關注是否有異常IP登陸自己的郵箱。
(新聞稿 2018-09-14)