一次黑客利用釣魚郵件成功攻破用戶密碼的事件

事件概述

2024年5月23日，公司多個用戶密碼被盜，觸發了多次係統告警。幸好在最後的護欄如多次驗證等設置下，成功攔下了係統入侵。也是停用了多個用戶賬號，重置密碼，忙活半天，驚了一身汗水。

事件分析

這是一起典型的釣魚郵件攻擊，黑客利用用戶對客戶或供應商的信任，偽造了一封看起來合法的郵件，誘導用戶點擊鏈接，從而獲取用戶的敏感信息。

攻擊過程：

1. 從已經被突破的正常的商業郵箱對所有的供應商或客戶群發，內容與正常的企業活動高度相關。因為郵件來自日常的供應商，收件人警惕性大為降低。

2. 郵件中的鏈接使用微軟的OneDrive的鏈接，躲過郵件服務器中基於鏈接的掃描。因為OneDrive與SharePoint是常用的企業交換文件的方法，所以基於鏈接的掃描基本都會放過這種鏈接。這個文件顯示需要點擊另一個鏈接查看文件。

3. 在下一個鏈接中，偽裝出微軟的登錄界麵，與用戶平時見到的頁麵觀感一致。警惕的用戶如果看一下地址欄，會發現此時不是在微軟的網站地址裏。但是要用戶甄別微軟的登錄地址，的確有點強人所難，就是你涼不丁問我，也回答不出登錄時微軟登錄時用到的地址。
   在這個地址上，如果用戶輸入用戶名與密碼，黑客就成功地取得的登錄你的係統的第一把鑰匙。

4. 在黑客獲得密碼非常短的幾分時間裏，他們嚐試用多個不同的IP地址登錄，企圖登錄係統，取得信息。如果你的係統僅使用用戶名與密碼登錄，此時就玩完。管理員不可能在此時做任何事情。

5. 管理員那邊收到的警告是這樣的。問題是管理員每天收到大量類似的告警，要一一甄別就要花費大量的時間。基本上管理員在對黑客攻擊處於弱勢地位，就如同每天麵對一堆蚊子，但是其中一個蚊子帶有致命的病菌。

事件預防

為了防止自己成為釣魚郵件的受害者，用戶應該注意以下幾點：

• 不要輕信郵件中的緊急或威脅的信息，不要隨意點擊郵件中的鏈接，不要在不確定的網站上輸入自己的敏感信息。
• 檢查郵件的發件人和鏈接的地址，是否與正規的機構或網站一致，是否有拚寫錯誤或多餘的字符。

對於企業來說，用戶多了，總是有人會被類似的釣魚釣到

• 使用企業級的服務，支持最新的防護機製（看到很多小公司甚至還在使用ISP提供的免費郵箱，連多重驗證都沒有）
• 啟用多重驗證與條件訪問等最佳安全措施（谘詢聘請有經驗的管理員）

• VPN不好用？介紹一個私有梯子
• 一次黑客利用釣魚郵件成功攻破用戶密碼的事件
• 下巴都驚掉，Lifelabs黑客事件的賠償方案出爐，個人隱私到底值多少
• 【過期了】LifeLabs信息泄露事件和解協議，加拿大人有錢領了，最多CAD$150
• 【轉】當安全保護軟件出現安全問題就是大問題