导语:值此百年华诞之际,Coremail作为国内邮件安全的创新级安全厂商,积累了丰富的重大活动邮件安全保障经验。 从恶意邮件拦截到账号保护,再到威胁态势感知,Coremail在邮件安全上的每一步努力都是为了更好地保障各关基单位及企事业单位的邮件安全。
2021年,我们喜迎建党100周年,百年征程波澜壮阔,百年初心历久弥新。
值此百年华诞之际,Coremail作为国内邮件安全的创新级安全厂商,积累了丰富的重大活动邮件安全保障经验。
从恶意邮件拦截到账号保护,再到威胁态势感知,Coremail在邮件安全上的每一步努力都是为了更好地保障各关基单位及企事业单位的邮件安全。
面对建党100周年这样的国家重大政治经济活动节点,Coremail邮件安全也感受到了此刻严峻的防御形势。
3月15日至6月15日的短短三个月内,我们识别处理了超过45,000,000封钓鱼邮件,通过追溯发现,其中大部分是来自境外的恶意邮件攻击。
除了来自境外的恶意邮件攻击大幅度增加外,邮箱盗号的风险同样不容小觑,以下是Coremail近期接收到的由邮箱盗号问题所引发的紧急事件回顾。
一、事件回顾
升级重保丨刻不容缓!
2021年6月22日上午,Coremail收到了一起钓鱼邮件的案例反馈,由于被攻击单位属于重要的关基单位,Coremail邮件安全团队对此高度重视。
安全应急响应!
Coremail邮件安全团队立即组织多名技术专家进行专项排查,基本还原了攻击流程。
此次钓鱼邮件攻击与常见类型有所不同,攻击者盗取了多个高校的电子邮箱账号,通过控制这批邮箱账号向国家重要的关基单位发送钓鱼邮件,初步猜测其目的是为了盗取重要的机密信息。
而更加令人不安的是,进一步溯源发现,这批高校账号最早在2020年12月12日已经在发送钓鱼邮件,因此推测这批邮箱账号早已被盗,攻击者已潜伏多时。
钓鱼邮件追溯 ▲
为何在长达半年的时间中迟迟未被发现盗号?
Coremail邮件安全团队分析,这是由于攻击者发送钓鱼邮件的数量少、频率低以及长时间的潜伏导致的。
以sun****用户为例,该用户最早自2020年12月26日即开始发送钓鱼邮件,每日发送量在20封以下,一直持续到2021年1月7日,此后,攻击者却突然停止发信。
经过长达半年的潜伏,攻击者于2021年6月21日再次使用该邮箱发送钓鱼邮件,结合即将到来的“七一”重保,攻击者这样的恶意行为必须引起各单位的警惕。
再次发送的钓鱼邮件▲
同时,攻击者在邮件特征上也进行了伪装:邮件伪装为系统管理员发送系统通知信,从邮件的文本特征而言,措辞倾向也属于正常的通知信范畴。
发现这一重要特征后,CAC云安全中心立即将此类邮件的相关特征更新到云端特征库,提高了CAC云安全中心对于恶意邮件检测的准确率。
后续Coremail将会继续加强对此类邮件威胁的识别与态势感知,减少同类威胁。
同时,CAC云安全中心已将相关情况告知该高校的管理员老师,也已处理被盗账号。
尽管此次事件有惊无险,但“七一”重保即将来临,Coremail为防范邮件安全重大风险,遏制邮件安全的事故发生,Coremail邮件安全决定将于2021年6月23日开始,全面升级邮件安全防护措施!
如若转载,请注明原文地址