日期:2021年10月09日
背景:
近期有用戶反饋客戶收到偽造他郵箱內容一致的郵件,導致款項直接打到黑客的賬號上,后經查詢是郵箱被盜,為此希望大家加強安全意識,避免造成不必要的損失。
一、郵箱安全預防措施
1、 首先大家要郵箱綁定手機號,這樣有任何的異常登錄都會第一時間發到手機。
2、 其次縮短更改郵箱密碼的周期,一個月或三個月定時修改,密碼一定要高強度,大小寫,字符,數字等組合,高強度密碼一般很難被黑客破解。
3、 不打開有安全隱患的網站,避免不必要的風險,定時查殺病毒和木馬。
4、 例如下圖,就是一封釣魚郵件,假如用戶點擊鏈接,輸入密碼后,那么用戶的密碼就會上傳到釣魚網站,從而發生被盜的情況。
二、郵箱被盜的自行檢查處理方式。
1、登錄到webmail,在設置自助查詢中,查看是否有異常登錄的ip地址。
2、用本地殺毒設備進行殺毒掃描,清理木馬。黑客可能沒有獲取郵箱賬號密碼,但監控了用戶的電腦的情況。
3、檢查郵箱是否有設置自動轉發,如果發現有設置,且確認不是本人設置,請取證后,盡快刪除。
5、 檢查收信規則里面是否有設置自動轉發。(一般都是空的,除非自己有設置,如果不是自己設置的就要注意了)
5、以上都沒問題的話,基本能排除不是用戶郵箱被盜導致,可能是客戶那邊郵箱出了安全問題,所以要及時跟客戶溝通,涉及資金賬號問題的變更要新增幾種驗證方式,不能只憑一封郵件就輕易變更銀行賬戶。
三、偽造郵件區分
1、偽造郵件通常有兩個地址,在web端我們容易區分,其他客戶端可能區分不出來,出現下面圖片顯示的情況,一定要及時跟合作方聯系確認郵件內容,千萬不會回復這種郵件,一旦跟這種偽造賬號建立了往來郵件的關系下次就很難對這種郵件進行攔截了。
【舉例】
1)web端的偽造郵件顯示
顯示發件人地址:service@mail30.lagoujobs.com。
真是發件人地址:33a0c9fa-a08f-11ea-91ef-525400432308@mail30.lagoujobs.com,有些顯示一個空地址,由null代發,這個需要查看源碼顯示真實地址
2)用foxmail查看下
3)查看下源碼地址,鼠標放到郵件正文中右鍵選擇>>更多操作>>查看郵件源碼
4)1、可以通過源碼查看發件人真實地址(mailfrom),不可修改,用foxmail查看源碼地址
2、在郵件表頭顯示的發件人(from),這個可任意修改。
四、釣魚郵件
1、釣魚郵件—惡意偽造阿里郵箱的通知騙取賬號密碼,如銀行或理財的網頁,令登錄者信以為真,輸入信用卡或銀行卡號碼、賬戶名稱及密碼等而被盜取,還有一些訂單確認、服務器過期、付款信息等,都要注意下的,阿里郵箱不會主動向用戶發送需要點擊鏈接改密碼的郵件。
2、釣魚郵件—病毒附件/附帶病毒的超鏈接
1)一種嵌入在郵件中的附件文件進行傳播,另一種就是通過郵件中附帶的鏈接,一旦不小心點擊了病毒文件就會運行,并且自動將病毒程序復制到更多的正常程序中。
3、 病毒郵件/鏈接下載病毒、
1) 常見現象舉例:
內容為訂單、PO報表、付款確認等信息
下載鏈接為不知名域名
下載鏈接與發件賬號,不同域
嘗試點擊下載鏈接,瀏覽器報錯不安全/威脅信息
下載文件殺毒軟件報錯
文件后綴為exe等可執行文件
4、 釣魚郵件、垃圾郵件處理方式:
1) webmail上面設有垃圾郵件舉報功能,用戶收到釣魚郵件后可以通過該功能進行舉報,鼠標放到郵件正文中右鍵。反垃圾部門會對郵件做相應處理優化
2) 當然,也提供郵件eml格式的原件樣本,確認是釣魚郵件后,我們會更新釣魚庫,優化規則。
3)另外管理員可以設置郵件過濾、正文內容,將包含關鍵字的過濾掉,域管后臺-安全管理-郵件過濾
4)反垃圾級別設置為高以上,webmail-設置-反垃圾選項
五、總結注意事項:
1) 不點擊不明鏈接及下載附件
2) 不輕易在不明網站上輸入賬號密碼
3) 不回復垃圾或未知來源郵件
4) 有大額匯款信息的。一定要通過電話方式與合作方確認無誤后再做打款
