一起真实伪发邮件案例参考

admin

事件原由：2022年8月8日，客户报告他们发给多个国家的催款邮件的银行账户被篡改，变成了第三方黑客银行账号。此事件和上次出现一样，并且事态扩大至多国多个邮件发送方客户。

客户问我们有没有其它类似事件，说实话，10多来年，因为我们对安全有研究，经常有耳闻，但还是第一次真实案例。
经过分析数据，发现有IP国外有登陆成功迹象，其中包括俄罗期，美国，亚太地区，荷兰，频繁登陆成功！并且发现某些邮件中含有病毒/Virus-infected e-mail。

分析此次事故原因及大体流程：
1、黑客利用邮件发送木马病毒给邮件使用者。
2、邮件发送方未做好安全防范，未注意到某些邮件含有病毒，并且点开。
3、黑客在邮件发送方准备好催款邮件后，黑客截获并篡改账户信息后发送给收件方。

我们看到了此次事件存在的问题：
1、上次事件后，本文已经强调过做好安全保护工工作，但此次事件暴露了企业似乎并没有重视起来，建议做好所有员工的培训工作。
比如：在上文“防御办法与黑客技术实现”第2条讲述了：通过聊天发送木马，或者发送邮件夹带木马，你打开邮箱可能就已经中招了，这是比较常用的招，基本没有什么技术含量。
我们建议电脑安全，每天必查，我们建议升级到win10，利用win10自带的安全机制，对方说不能用win10怎么办或不能升级所有电脑，不能用那也就只能用360安全管理软件了，大家都笑了。
2、上次事件后，我们进行过上门指导，客户方主动指出了想禁止邮箱在其它城市登陆，我们指导了如何用禁止IP异地登陆，还指导过用特定IP与IP段的使用方法，以及忘记使用时的网上如何通过百度查询的方法，再整理如下：
1）特定IP：如60.202.60.199，这是唯一IP，可以通过路由器获取，也可以www.IP138.com网站来查看自己的电脑IP。
2)  如果限制60.202.60.0-60.202.60.255，可以通过IP来录入，如果只有一行那么可以用60.202.60.0/24
3）如果限制60.202.0.0-60.202.255.255，可以通过IP来录入之外，一行简写可以用60.202.0.0/16
完全理解：24/16/8的意义，我建议他去网上查找，这样就不用记忆，随查随得，这里再提供网址：IP地址的区分：IP地址/24 /16 /19子网掩码各代表哪些IP段？_猪机博客 (pigji.com)
3、上次事件后，我们建议过网页登陆与客户端登陆使用不同的密码。
4、上文也提到过培训，企业安全需要共同努力营销，如果一个人安全了，并不代表企业员工都安全，培训很重要。
5、上文我们要求邮箱分类使用，停止网上公开邮箱bod用于催款，建议邮箱专人专用，比如财务总经理ceo@，financial@，销售sale@，市场market@，行政admin@等，这一次事故说明和上次一样仍在延用bod@邮箱。
6、对于经常发送一些钓鱼诱铒文件的不明邮箱，将其列入黑名单。操作路径：在您的邮箱账户里找到设置安全设置，将该邮箱添加到黑名单。
以上几点，还是必须严格执行的，其中最重要的还是电脑安全和使用者的安全意识，不要打开不明邮件，打开前打开杀毒软件，一但未打开杀毒软件打开邮箱，要及时记得杀毒。

建议办法：
1、电脑杀毒，确保电脑没有安全隐患，win7电脑一般都有升级到win10，所以不存在难度，建议升级，序列号可以在淘宝购买，也可以让电脑公司，或者与我们签约长期代维服务（可能报价高于电脑公司，邮箱和网络软件安全方面更专业），否则也只能用360安全软件，但要明白360这是流氓软件，目前还无法证明360窃取用户资料，所以后果自己承担。
以上是主要隐患，上面安全了，下面就未必重要了，以下是防御性办法，说重要也是非常重要，主要涉及到企业管理章程和安全作业流程的考核。
2、bod@邮箱尽量不要发送重要安全隐私性内容，客户其它多个邮箱用起来。
3、邮箱限制异地IP登陆。
4、客户端与网页端各自密码专用。
5、加强培训，密码专人专用，遗忘密码时可向贵司邮局管理员联系重置即可，一但密码泄露立即修改密码（包括我们帮助核查事故问题时可能会索取邮箱账号与密码）。

详情：关于客户网站邮箱被人利用事件防御办法-主机邮局-弘帝企业智能建站系统交流平台 - Powered by Discuz! (wh.ac.cn)