关于客户网站邮箱被人利用事件防御办法

admin

今天我们遇到了一个客户，投诉说邮箱被黑客利用：向他们的国外客户发邮件通知客户紧急转移相关事项，这是一起比较严重的，涉及财务与企业信用的较大事件，一但海外客户被骗，尽管是被骗方的失误，也会对发件方邮箱持有公司带来极大的信誉危机。
我们也非常重视此事件，并立即做了全面核查，发现有数起错误登陆日志，但并不夸张，这说明了两种可能，一种是员工错误登陆，一种是黑客攻击后放弃或成功破解密码。
为了确保客户邮箱安全及公司事务的安全，我们整理了该文，避免下次再遇到邮箱被破解后企业邮局用户遭遇信用危机和财产损失等事件。

具体情况，我们百度了一个差不多的案例（Email Hacker）：https://cloud.tencent.com/developer/news/153500

首先：为了邮箱安全发现立即（第一秒想到的事）修改密码，密码建议10位以上，8位也安全但一般几天内就可以破解，所以10位以上至少需要多天以上，随着多核CPU的增多，多台甚至成百上千台服务器同时破解的规模也不再稀有，黑客或获利企业破解能力与技术水平也越来越厉害。
我们建议字母混大小写+数字+特殊符号！@#￥%……&*()-+10位以上密码可以一齐上，这样就给密码破解增大了难度，但仍然有可能被破解哟。
网上有传言：对于绝对机密的资料，有专门的安保单位并且7天、30天换一次密码，那个长度就是一个小纸条根本记不住，对于邮局我们就不用强求了，实在是没必要。
这里提醒广大用户：千万不要说我已经设置了你认为非常复杂的密码了，就可以高枕无忧了，也不要责怪服务商会泄露您的密码（修改后的密码只有你知道）或者服务器不安全（没有绝对安全的服务器，包括美国情报局网站）。

第二步：密码安全了，就意味着黑客暂时不能再利用你的邮箱了，这时先检查该邮箱发件箱是否存在发件内容，如果存在，则表明是内部人员发送或者邮箱曾被利用了，第一步就已经帮您解决了安全隐患，不用再多虑了。

第三步：如果发件箱没有发现发件内容，则表明两种情况，黑客删除了，其实也跟第二步一样，不用担心了，因为第一步已经让您安全了。

第四步：如果不是黑客删除了，或者您怀疑不是黑客攻入了邮箱，这时候，你不用对邮箱提供商进行质问，而要完成以下紧急动作。
1）赶紧写一篇邮件，告知事件原委。
2）整理一个通用信件页尾，这样未来所有的收件人，都会收到警示信息：此邮箱仅用于咨询类，凡此邮箱涉及财产交易均需二次核验，避免诈骗行为发生。（具体怎么整理页尾内容，由邮局方自行整理，这儿只是个示范文）
3）启用多用户邮箱账号，网站对外公开邮箱仅限于业务咨询。不要公开企业其它角色公务邮箱，特别是涉及资金合同方面的邮件，可能涉及咨询类需要公开私人邮箱的邮件，一律转公用邮箱代发，涉及业务提成的必须私发的邮件，勿必保密好邮箱名及密码，不致于被广泛传播。
4）IP限制登陆，操作办法：邮箱管理后台-->组织与用户-->用户管理-->设置账号-->属性-->绑定IP，这样邮局就能拒绝未绑定的IP登陆了。
5）加强培训，特别是新员工，每年培训一次加深印象，这非常重要，让公用邮箱和公务邮箱最佳使用，同时也不用担心骗局的再次发生。
6）加强电脑安全管理，每天电脑启动时先杀，或午饭休息时间进行查杀，强烈建议使用Win10以上系统自带的安全软件。360安全卫士本是流氓软件教父（流氓20年）本尊开发，不建议使用，因为保证了你电脑安全的同时，可能会顺带给你提供其它你不知道的服务，比如关键数据上传，加杂第三方不明程序，隐患更深。
如果你的电脑硬件带不动Win10以上系统，请追加4G以上内存基本上都能保证大部分应用运行顺畅，或者更换二手主板CPU，也不过百元。

以上是防御办法，但客户很想知道黑客是怎么实现的？包括两个重点：发件人信息被截取，如何冒充发件人发件！
其实技术实现很多，无非以下几种：
1、通过技术性聊天，就可以得到密码，让你无意中防不甚防。说到技术性聊天，很多招：比如冒充我们说邮局核查，提供一下密码。纯粹骗，小学生学历的骗子培训一下都会了。
2、通过聊天发送木马，或者发送邮件夹带木马，你打开邮箱可能就已经中招了，这是比较常用的招，基本没有什么技术含量。
3、通过技术手段获取邮箱数据流句柄，偷偷传送给黑客用来在对方电脑模拟你的电脑操作环境，这个手段非常高明，需要一定的技术含量和明文或暗文的破解力，不需要懂编程。句柄是啥意思，就是指黑客需要的东西。
4、得到不你的邮箱密码，我直接用SMTP无密码发送，这是最常规的发送邮件，要求会编程。
5、通过模仿域名，架设同名企业邮局的方式来发送，这就厉害了，懂编程，懂系统（懂DNS原理，懂架设邮局），可谓高手中的高高手。
6、劫持域名，域名都劫持了，岂不是想干嘛干嘛？这比模仿域名更厉害了，我也只知道有这回事，怎么个操作细节及实现办法，不懂，也不想懂，这很偏门，不正当赚钱，我们不学不做不屑。

关于技术上的研究与解决方案
我们找到一篇文章，过于技术，看不懂不要紧，可以不用理会。
如何通过一封邮件,找到真正的发件人? 点击网址http://wh.ac.cn/forum.php?mod=viewthread&tid=3032&fromuid=1
通过邮件隐藏的代码（行话称文件头），分析来源，如有加密文件头，可能需要专业工具阅读。

回访后，我们还注意到客户关心邮件是怎么泄露的？
这个确实是一个难题，但不外乎：发件方（包括网络环境，人，软件，硬件）--> 服务方（管理员，服务器，运输线）--> 收件方（包括网络环境，人，软件，硬件）
首先讲述服务方：

• 服务方邮箱系统为全球企业服务，主要在亚太地区，从网络设备硬件上讲，中国前10领先的网络服务商，技术力量应该是比较完善的，服务行业也是形形色色，安全性应该是靠谱的，值得广大客户信赖的。
• 技术人才都是全国数类拨粹的，对于运营这么庞大邮箱系统与网络系统来说有相当网络管理经验的，而且各司其职，流线岗位众多，单一人获取信息不被发现蛛丝马迹也是难度较大的，任何公司都不可能容有忍不法行为的员工重职。
• 服务是互信的，欺骗是不可能留住客户的，过失是需要勇于承认的，目前来说，我们没有找到有心过失的迹象，没有理由给网络责任方安插责任。
  

发件方和收件方：两者工作环境行为结果其实是一样的，测试不相干的外部环境是否发生同类事件，确保收件方工作环境的安全，防止Email Hacker。
工作区外围：

• 首先需要自审自己单位是否为军事或世界级的技术机密单位，如果是，就要关注工作区周边辖区内是否存间谍，光管通道是否存通过网络磁波截取信息的秘密设备或仪器。
• 向电信供应商查询是否存泄密可能。
  

工作区内部：

• 网络体系是否安全，电脑间是否可以未授权互访。
• 电脑是否存病毒，聊天泄露。
• 电脑是否被借用，是否被多人使用，被劫持。
• 员工素养，是否有内鬼。
• 员工外出公干是否存影像偷拍，数据偷盗事件。
  

关于伪造邮件的付款账号的疑问：
经了解，发件人方认为伪造邮件方所在国家是可以申请注册完全一模一样的公司名称，那也意味着公司账号是对上了，可以实现打款从而造成收件方损失。
但从事外贸工作的任何公司都有义务鉴别伪件的能力，否则这样的公司是不可能长久存在的，必倒！责任方在收件方，发件方也是受害者，伪造方才是罪魁祸首。同时也提醒发件方在跨国交易过程中的细节更要提高防范，办法上面已经提供，让客户做好甄别的前期准备，比如注明账号所在国是没有贵司办事机构。
已经发生此事了，一方面确定假打款账号是否合法性，可以尝试打款1元来甄别，如果账号可打款，这就要行动起来，向收件方郑重声明此公司非彼公司，同时启动维权和他国市场公关及营销，把坏事变成一劳永逸的好事，市场拓展到更大，名声在他国一举成名。


可能还有很多方法，一时想不起来，但黑客肯定比我更了解各种方法，黑客随时在您身边，让你防不胜防，千万不要以为你离黑客很远，只有可能黑客没有攻破你的防线。
据早前黑客跟踪日志统计：弘帝建站系统每天经历数千上万次海外不明IP访问和攻击，不管是黑客行为还是正常访问，我们都要时刻做好防范，也可以关注以下频道。
安全性能优势-弘帝企业智能建站系统交流平台 - Powered by Discuz! (wh.ac.cn) 安全维护与攻击防御

admin

事件原由：2022年8月8日，客户报告他们发给多个国家的催款邮件的银行账户被篡改，变成了第三方黑客银行账号。此事件和上次出现一样，并且事态扩大至多国多个邮件发送方客户。

客户问我们有没有其它类似事件，说实话，10多来年，因为我们对安全有研究，经常有耳闻，但还是第一次真实案例。
经过分析数据，发现有IP国外有登陆成功迹象，其中包括俄罗期，美国，亚太地区，荷兰，频繁登陆成功！并且发现某些邮件中含有病毒/Virus-infected e-mail。

分析此次事故原因及大体流程：
1、黑客利用邮件发送木马病毒给邮件使用者。
2、邮件发送方未做好安全防范，未注意到某些邮件含有病毒，并且点开。
3、黑客在邮件发送方准备好催款邮件后，黑客截获并篡改账户信息后发送给收件方。

我们看到了此次事件存在的问题：
1、上次事件后，本文已经强调过做好安全保护工工作，但此次事件暴露了企业似乎并没有重视起来，建议做好所有员工的培训工作。
比如：在上文“防御办法与黑客技术实现”第2条讲述了：通过聊天发送木马，或者发送邮件夹带木马，你打开邮箱可能就已经中招了，这是比较常用的招，基本没有什么技术含量。
我们建议电脑安全，每天必查，我们建议升级到win10，利用win10自带的安全机制，对方说不能用win10怎么办或不能升级所有电脑，不能用那也就只能用360安全管理软件了，大家都笑了。
2、上次事件后，我们进行过上门指导，客户方主动指出了想禁止邮箱在其它城市登陆，我们指导了如何用禁止IP异地登陆，还指导过用特定IP与IP段的使用方法，以及忘记使用时的网上如何通过百度查询的方法，再整理如下：
1）特定IP：如60.202.60.199，这是唯一IP，可以通过路由器获取，也可以www.IP138.com网站来查看自己的电脑IP。
2)  如果限制60.202.60.0-60.202.60.255，可以通过IP来录入，如果只有一行那么可以用60.202.60.0/24
3）如果限制60.202.0.0-60.202.255.255，可以通过IP来录入之外，一行简写可以用60.202.0.0/16
完全理解：24/16/8的意义，我建议他去网上查找，这样就不用记忆，随查随得，这里再提供网址：IP地址的区分：IP地址/24 /16 /19子网掩码各代表哪些IP段？_猪机博客 (pigji.com)
3、上次事件后，我们建议过网页登陆与客户端登陆使用不同的密码。
4、上文也提到过培训，企业安全需要共同努力营销，如果一个人安全了，并不代表企业员工都安全，培训很重要。
5、上文我们要求邮箱分类使用，停止网上公开邮箱bod用于催款，建议邮箱专人专用，比如财务总经理ceo@，financial@，销售sale@，市场market@，行政admin@等，这一次事故说明和上次一样仍在延用bod@邮箱。
6、对于经常发送一些钓鱼诱铒文件的不明邮箱，将其列入黑名单。操作路径：在您的邮箱账户里找到设置安全设置，将该邮箱添加到黑名单。
以上几点，还是必须严格执行的，其中最重要的还是电脑安全和使用者的安全意识，不要打开不明邮件，打开前打开杀毒软件，一但未打开杀毒软件打开邮箱，要及时记得杀毒。

建议办法：
1、电脑杀毒，确保电脑没有安全隐患，win7电脑一般都有升级到win10，所以不存在难度，建议升级，序列号可以在淘宝购买，也可以让电脑公司，或者与我们签约长期代维服务（可能报价高于电脑公司，邮箱和网络软件安全方面更专业），否则也只能用360安全软件，但要明白360这是流氓软件，目前还无法证明360窃取用户资料，所以后果自己承担。
以上是主要隐患，上面安全了，下面就未必重要了，以下是防御性办法，说重要也是非常重要，主要涉及到企业管理章程和安全作业流程的考核。
2、bod@邮箱尽量不要发送重要安全隐私性内容，客户其它多个邮箱用起来。
3、邮箱限制异地IP登陆。
4、客户端与网页端各自密码专用。
5、加强培训，密码专人专用，遗忘密码时可向贵司邮局管理员联系重置即可，一但密码泄露立即修改密码（包括我们帮助核查事故问题时可能会索取邮箱账号与密码）。

admin

全文摘自:
我司的邮箱一直在被攻击，正常吗？
http://wh.ac.cn/forum.php?mod=viewthread&tid=3053&fromuid=1

客户咨询：我司的邮箱一直在被攻击，攻击的频率很高，一天估计有500-600次，这个属于正常现象吗？回复：1000万次也正常！

客户咨询：1000万次估计那个是安全局的网站吧，我们只是一个普通企业的邮箱，又不是银行之类的！
回复：
你这么认为，你的安全意识有点淡薄，黑客成功一次就不知道能拿多少美元，对吧！
而他们专做这一行，也没有什么成本，一个软件而已，几乎0成本。
当然，频繁的攻击，也不用担心，只要密码未破就是安全的，服务器方工作人员发现异常也会采取手段的。

解析如下：
1、首先，黑客曾经得到了你的密码（不管是破解还钓鱼），并且得到了好处，成功修改了您的催款账号。
2、从登陆成功及后续攻击分析来看，多个IP，就意味着三种可能：黑客跨国团伙，黑客在各国都有服务器，多个国家黑客。
3、某个来自美国的IP，一次攻击100次以上，所有累计近600次，说明黑客是有心发起，而不是随机扫描（一般攻击频率次数不大）。
4、对于随机扫描的黑客而言，是没有企业规模大小的说法，不管你是世界500强，还是身无分文的打工仔，对他们而言是没有区别对待的，只要联网就有可能被攻击，千万不要认为我不重要，就不会有人扫你，因为网络是数字世界，银行和普通人一样都没有特定标识的。
5、扫100次，对一个黑客软件来说，可能就1秒钟的时间，对客户而言，可能就是敲一个键盘的时间，而对专业的黑客，软件智能操作，本人可能还正在异地旅游呢？
6、拿2022年8月这次中美台海危机，就在不到24小时，台湾就被发生了上亿次攻击，如果是一个人操作，可能需要几百年才能完成，但软件实现就容易的多了，成本也是很低的。
7、攻击不可怕，可怕的是不重视被攻击，实时监控被攻击状态，可以防患于未然，当然100次是很小的攻击流量，一般来说，服务器端是不会控制的。
8、被攻击要重视起来，监控IP攻击频率及时段，最近几天的攻击情况，如果一直存在，建议对该IP进行阻断，将此IP列入黑名单。