这是一篇全年公司内部的真实case,报警了无果,后续本人去年花了挺长一段时间分析关于公司此次涉及的钓鱼邮件的实例,在内部做了几场分享会。适用面很广,关联的社工学和基础it知识也多,把他贴出来,有需要的同仁看看!(为了隐私等,以下字母隐藏了**)
钓鱼邮件原理解析
2022.4
- 事件概述
2022年3月起发现某分子公司使用公司的邮箱系统,被不法分子伪造虚假邮件后缀冒用公司邮箱发给客户/供应商企图以窃取关键信息牟利。伪冒的邮箱后缀名分别为h0lite**.net、holite**.ml和hoilte**.net。
股份公司官方使用的域名为holite**.net,对应的邮箱系统为mail.holite**.net,如某员工ggiggs的邮件地址为ggiggs@holite**.net。
钓鱼邮件的几种“饵线”:
- holite**.ml有发往holite**.ml和(smthk.com、solu-m.com、vn.ey.com、 odtte**.co.kr、pricer.com等)客户/供应商邮箱,再利用客户/供应商的邮件回复和holite**.net建立联系,从而进入内部通过正常邮件交流以获取关键信息;
- holite**.ml有发往svi.co.th 和holite**.net的,企图直接通过邮件沟通获取关键信息;
- h0lite**.net有发往h0lite**.net和pricer.com的客户/供应商邮箱,再利用客户/供应商的邮件回复和holite**.net建立联系;
- hoilte**.net有发送给holite**.net, 企图直接通过邮件沟通获取关键信息;
- 有securemeters.com客户邮箱同时发送给hoilte**.net和holite**.net的,hoilte**.net通过邮件交流回复以获取相关信息。
本篇幅通过实例分析钓鱼邮件的过程及若干原理,给大家普及钓鱼邮件基础知识,篇末还模拟了一次钓鱼邮件攻击,加深大家对钓鱼邮件的深刻印象,以期提升个人信息安全自我保护意识。
- 术语定义
官方邮箱:指holite**.net后缀的邮箱地址,以下也叫合法邮箱。官方邮箱中配置的邮件为官方邮件。
钓鱼邮件:指h0lite**.net、holite**.ml和hoilte**.net后缀的邮箱地址邮件。
外部邮件:指除了holite**.net后缀的合法邮件,外部邮件用于公司业务往来。
邮件网关:指合力泰邮箱系统使用U-mail邮件网关,是收信过程中外部邮件进入官方邮箱的边界系统,它提供过滤信息和拦截病毒文件功能,以下简称网关。
- 钓鱼邮件收发分析