日期:2021年10月09日
背景:
近期有用户反馈客户收到伪造他邮箱内容一致的邮件,导致款项直接打到黑客的账号上,后经查询是邮箱被盗,为此希望大家加强安全意识,避免造成不必要的损失。
一、邮箱安全预防措施
1、 首先大家要邮箱绑定手机号,这样有任何的异常登录都会第一时间发到手机。
2、 其次缩短更改邮箱密码的周期,一个月或三个月定时修改,密码一定要高强度,大小写,字符,数字等组合,高强度密码一般很难被黑客破解。
3、 不打开有安全隐患的网站,避免不必要的风险,定时查杀病毒和木马。
4、 例如下图,就是一封钓鱼邮件,假如用户点击链接,输入密码后,那么用户的密码就会上传到钓鱼网站,从而发生被盗的情况。
二、邮箱被盗的自行检查处理方式。
1、登录到webmail,在设置自助查询中,查看是否有异常登录的ip地址。
2、用本地杀毒设备进行杀毒扫描,清理木马。黑客可能没有获取邮箱账号密码,但监控了用户的电脑的情况。
3、检查邮箱是否有设置自动转发,如果发现有设置,且确认不是本人设置,请取证后,尽快删除。
5、 检查收信规则里面是否有设置自动转发。(一般都是空的,除非自己有设置,如果不是自己设置的就要注意了)
5、以上都没问题的话,基本能排除不是用户邮箱被盗导致,可能是客户那边邮箱出了安全问题,所以要及时跟客户沟通,涉及资金账号问题的变更要新增几种验证方式,不能只凭一封邮件就轻易变更银行账户。
三、伪造邮件区分
1、伪造邮件通常有两个地址,在web端我们容易区分,其他客户端可能区分不出来,出现下面图片显示的情况,一定要及时跟合作方联系确认邮件内容,千万不会回复这种邮件,一旦跟这种伪造账号建立了往来邮件的关系下次就很难对这种邮件进行拦截了。
【举例】
1)web端的伪造邮件显示
显示发件人地址:service@mail30.lagoujobs.com。
真是发件人地址:33a0c9fa-a08f-11ea-91ef-525400432308@mail30.lagoujobs.com,有些显示一个空地址,由null代发,这个需要查看源码显示真实地址
2)用foxmail查看下
3)查看下源码地址,鼠标放到邮件正文中右键选择>>更多操作>>查看邮件源码
4)1、可以通过源码查看发件人真实地址(mailfrom),不可修改,用foxmail查看源码地址
2、在邮件表头显示的发件人(from),这个可任意修改。
四、钓鱼邮件
1、钓鱼邮件—恶意伪造阿里邮箱的通知骗取账号密码,如银行或理财的网页,令登录者信以为真,输入信用卡或银行卡号码、账户名称及密码等而被盗取,还有一些订单确认、服务器过期、付款信息等,都要注意下的,阿里邮箱不会主动向用户发送需要点击链接改密码的邮件。
2、钓鱼邮件—病毒附件/附带病毒的超链接
1)一种嵌入在邮件中的附件文件进行传播,另一种就是通过邮件中附带的链接,一旦不小心点击了病毒文件就会运行,并且自动将病毒程序复制到更多的正常程序中。
3、 病毒邮件/链接下载病毒、
1) 常见现象举例:
内容为订单、PO报表、付款确认等信息
下载链接为不知名域名
下载链接与发件账号,不同域
尝试点击下载链接,浏览器报错不安全/威胁信息
下载文件杀毒软件报错
文件后缀为exe等可执行文件
4、 钓鱼邮件、垃圾邮件处理方式:
1) webmail上面设有垃圾邮件举报功能,用户收到钓鱼邮件后可以通过该功能进行举报,鼠标放到邮件正文中右键。反垃圾部门会对邮件做相应处理优化
2) 当然,也提供邮件eml格式的原件样本,确认是钓鱼邮件后,我们会更新钓鱼库,优化规则。
3)另外管理员可以设置邮件过滤、正文内容,将包含关键字的过滤掉,域管后台-安全管理-邮件过滤
4)反垃圾级别设置为高以上,webmail-设置-反垃圾选项
五、总结注意事项:
1) 不点击不明链接及下载附件
2) 不轻易在不明网站上输入账号密码
3) 不回复垃圾或未知来源邮件
4) 有大额汇款信息的。一定要通过电话方式与合作方确认无误后再做打款