1. 利用钓鱼邮件,伪造打款信息
事件概述
某日,某能源行业企业发现黑客伪造邮件,试图欺骗项目方打款到非项目银行账户中。由于发现及时,该企业已紧急与项目方进行联系,提醒项目方注意防范伪造邮件,未造成严重后果。应急人员前往现场进行溯源工作。
应急人员对邮件服务器进行分析,发现邮件网关日志授权已经过期,导致日志记录时间较短,无法获取有用信息。此外,邮箱系统中存在大量垃圾邮件及恶意邮件,对其中一封恶意邮件进行分析,发现黑客以OA系统升级为由,欺骗用户点击制作好的域名网站,从而获取用户账号及密码。之后,应急人员对伪造邮件进行查看,发现黑客为了不使项目方察觉,在邮件中假装抄送了原邮件中的项目组成员,但将真实邮箱的后缀xx.com全改为xxj.co进行伪造,企图蒙骗收件人相信邮件内容,从而将项目资金汇入黑客账户中。
最终,应急人员通过对以上内容进行分析,认为黑客可能是通过以下方式对内部进行攻击:
- ①项目组邮箱、企业邮箱及邮件中抄送或转发的邮箱中存在弱口令,被黑客暴力破解登录
- ②项目组及企业相关人员点击了钓鱼邮件导致邮箱密码泄露,或执行了恶意文件导致电脑被控制
- ③企业项目伙伴邮件服务器存在漏洞,被黑客利用获取邮件内容
防护建议
- 定期进行内部人员安全意识培训,禁止点击来源不明的邮件附件,禁止将敏感信息私自暴露至公网等
- 系统、应用相关用户杜绝使用弱口令,应使用高复杂强度的密码,加强内部人员安全意识,禁止密码重用的情况出现
- 公私邮箱分离,禁止使用办公邮箱注册游戏、购物、社交和论坛等第三方应用账户及公共网站的服务,禁止用工作邮箱发送私人邮件
- 建议在服务器上部署安全加固软件,通过限制异常登录行为、开启防暴破功能、禁用或限用危险端口、防范漏洞利用等方式,提高系统安全基线,防范黑客入侵