一次黑客利用釣魚郵件成功攻破用戶密碼的事件

事件概述

2024年5月23日，公司多個用戶密碼被盜，觸發了多次係統告警。幸好在最後的護欄如多次驗證等設置下，成功攔下了係統入侵。也是停用了多個用戶賬號，重置密碼，忙活半天，驚了一身汗水。

事件分析

這是一起典型的釣魚郵件攻擊，黑客利用用戶對客戶或供應商的信任，偽造了一封看起來合法的郵件，誘導用戶點擊鏈接，從而獲取用戶的敏感信息。

攻擊過程：

1. 從已經被突破的正常的商業郵箱對所有的供應商或客戶群發，內容與正常的企業活動高度相關。因為郵件來自日常的供應商，收件人警惕性大為降低。

2. 郵件中的鏈接使用微軟的OneDrive的鏈接，躲過郵件服務器中基於鏈接的掃描。因為OneDrive與SharePoint是常用的企業交換文件的方法，所以基於鏈接的掃描基本都會放過這種鏈接。這個文件顯示需要點擊另一個鏈接查看文件。

3. 在下一個鏈接中，偽裝出微軟的登錄界麵，與用戶平時見到的頁麵觀感一致。警惕的用戶如果看一下地址欄，會發現此時不是在微軟的網站地址裏。但是要用戶甄別微軟的登錄地址，的確有點強人所難，就是你涼不丁問我，也回答不出登錄時微軟登錄時用到的地址。
   在這個地址上，如果用戶輸入用戶名與密碼，黑客就成功地取得的登錄你的係統的第一把鑰匙。

4. 在黑客獲得密碼非常短的幾分時間裏，他們嚐試用多個不同的IP地址登錄，企圖登錄係統，取得信息。如果你的係統僅使用用戶名與密碼登錄，此時就玩完。管理員不可能在此時做任何事情。

5. 管理員那邊收到的警告是這樣的。問題是管理員每天收到大量類似的告警，要一一甄別就要花費大量的時間。基本上管理員在對黑客攻擊處於弱勢地位，就如同每天麵對一堆蚊子，但是其中一個蚊子帶有致命的病菌。

function forumSelected() { var forumId = $("#forumId").val(); if(forumId == null || '' == forumId) { alert('請選擇論壇.'); } else { } }

[ 打印 ]

[ 加入書簽 ]

評論

alpha123 2024-05-26 13:42:20 回複 悄悄話 謝謝

一個沒有驚豔的老樹 2024-05-25 08:28:56 回複 悄悄話 謝謝分享！

登錄後才可評論.