一次黑客利用釣魚郵件成功攻破用戶密碼的事件

來源: hot_powerz 2024-05-26 08:08:18 [] [博客] [舊帖] [給我悄悄話] 本文已被閱讀: 次 (1157203 bytes)

 

一次黑客利用釣魚郵件成功攻破用戶密碼的事件

事件概述

2024年5月23日,公司多個用戶密碼被盜,觸發了多次係統告警。幸好在最後的護欄如多次驗證等設置下,成功攔下了係統入侵。也是停用了多個用戶賬號,重置密碼,忙活半天,驚了一身汗水。

事件分析

這是一起典型的釣魚郵件攻擊,黑客利用用戶對客戶或供應商的信任,偽造了一封看起來合法的郵件,誘導用戶點擊鏈接,從而獲取用戶的敏感信息。

攻擊過程:

  1. 從已經被突破的正常的商業郵箱對所有的供應商或客戶群發,內容與正常的企業活動高度相關。因為郵件來自日常的供應商,收件人警惕性大為降低。

 

 

  1. 郵件中的鏈接使用微軟的OneDrive的鏈接,躲過郵件服務器中基於鏈接的掃描。因為OneDrive與SharePoint是常用的企業交換文件的方法,所以基於鏈接的掃描基本都會放過這種鏈接。這個文件顯示需要點擊另一個鏈接查看文件。

  1. 在下一個鏈接中,偽裝出微軟的登錄界麵,與用戶平時見到的頁麵觀感一致。警惕的用戶如果看一下地址欄,會發現此時不是在微軟的網站地址裏。但是要用戶甄別微軟的登錄地址,的確有點強人所難,就是你涼不丁問我,也回答不出登錄時微軟登錄時用到的地址。
    在這個地址上,如果用戶輸入用戶名與密碼,黑客就成功地取得的登錄你的係統的第一把鑰匙。
  1. 在黑客獲得密碼非常短的幾分時間裏,他們嚐試用多個不同的IP地址登錄,企圖登錄係統,取得信息。如果你的係統僅使用用戶名與密碼登錄,此時就玩完。管理員不可能在此時做任何事情。

 

  1. 管理員那邊收到的警告是這樣的。問題是管理員每天收到大量類似的告警,要一一甄別就要花費大量的時間。基本上管理員在對黑客攻擊處於弱勢地位,就如同每天麵對一堆蚊子,但是其中一個蚊子帶有致命的病菌。

事件預防

為了防止自己成為釣魚郵件的受害者,用戶應該注意以下幾點:

  • 不要輕信郵件中的緊急或威脅的信息,不要隨意點擊郵件中的鏈接,不要在不確定的網站上輸入自己的敏感信息。
  • 檢查郵件的發件人和鏈接的地址,是否與正規的機構或網站一致,是否有拚寫錯誤或多餘的字符。

對於企業來說,用戶多了,總是有人會被類似的釣魚釣到

  • 使用企業級的服務,支持最新的防護機製(看到很多小公司甚至還在使用ISP提供的免費郵箱,連多重驗證都沒有)
  • 啟用多重驗證與條件訪問等最佳安全措施(谘詢聘請有經驗的管理員)

 

 




更多我的博客文章>>>
請您先登陸,再發跟帖!

發現Adblock插件

如要繼續瀏覽
請支持本站 請務必在本站關閉/移除任何Adblock

關閉Adblock後 請點擊

請參考如何關閉Adblock/Adblock plus

安裝Adblock plus用戶請點擊瀏覽器圖標
選擇“Disable on www.wenxuecity.com”

安裝Adblock用戶請點擊圖標
選擇“don't run on pages on this domain”