0
福利:关注雷锋网“宅客频道”公众号(微信搜索:宅客频道),回复“邮件报告”可以查看《2016中国企业邮箱安全性研究报告》全文。
你还在邮箱上使用初恋时就在用的密码吗?
你的邮箱密码和其他平台的登录密码一样吗?
你有没有毫不犹豫地点击过邮件里的链接呢?
你的邮箱密码是不是简单到一年级小朋友的知识量就能猜透?
如果你对以上任何一个问题的答案是“Yes”,那么你极有可能已经成为邮箱被泄露的一员了。如果你恰好是个名人,或者是企业的管理层,那么邮箱泄露可能导致的结果会超乎你的想象。
最近,360 互联网安全中心对外发布预警:邮箱泄露将会成为2017年最严重的威胁。
虽说邮箱几乎和互联网同时诞生,是互联网上的老干部了。但是有很多证据表明,这个老干部遇到了新问题。黑客有一万种方法黑掉一个邮箱。而以这个邮箱为入口,黑客可以掌握你的一切。
裴智勇博士是一位来自 360 的安全专家,他觉得一般的教训很难让人们重视邮箱安全,所以为雷锋网宅客频道列举了一系列因为邮箱泄露而引发的“惨案”。
每个惨案背后,都揭示了一个血淋淋的教训。
贝克汉姆被称为这个世界上高、富、帅集成度最高的人。这个公众眼中勤奋刻苦热衷慈善乐善好施的好丈夫好父亲是为数不多的正能量范本。
不巧,他的邮箱密码被黑客拿到了。英国人对邮箱的依赖程度很高,很多私人的谈话都会通过邮件发送。
在给友人发的私人邮件里,贝克汉姆解放了自己:邮件里不仅有他的私生活记录,还有他不经意间吐槽挖苦其他明星的文字。最要命的是,人们发现他热衷于慈善的原因,居然是觊觎“爵士”的头衔。
看看小贝都说了神马吧:
得知自己和爵士头衔擦肩而过时,小贝写了一封很愤怒的邮件,表示不满意这个结果,说提名他获勋章的委员会老大是“毫无欣赏力的傻X (unappreciative c****)
在一封给他公关经理Simon Oliveira的邮件中抱怨道:“Katherine Jenkins拿OBE(官佐勋章)?凭啥?她只会在英式橄榄球比赛上唱唱歌,慰问一下军队,还吸毒嗑药,这尼玛就是个笑话!”
小贝甚至还对他平日里极力讨好的委员会爆粗:“他们就是一群婊,我说的没错!这些荣誉到底谁说了算?这真尼玛丢人,如果我是美国人,十年前我就拿到这个了!”
对于慈善基金,小贝在私人邮件里写道:“把几百万投到慈善基金,就像把我自己的钱给出去一样。如果没有基金,那钱本该是我的。这尼玛可是我自己的钱!”
邮箱泄露让全世界认识了一个真的贝克汉姆。虽说贝克汉姆已报警,辩称有人改动了他的邮件,但目测然并卵。
先不谈黑客如何黑进他的邮箱,单单邮件泄露这一件事,就是贝克汉姆不能承受之重。因为,就连你自己都忘记说过了什么,但是邮件却帮你准确无误地记录着。人非圣贤,谁都会有搬不上台面的算计。而这些黑材料永远是埋在你身边的定时炸弹。
这件事,是细思极恐的。你的聊天记录其实就是你的“黑历史”。试想如果你的微信记录被黑客公布于天下,也许就连最好的朋友看到你背地里如何议论他,都要和你绝交。
不过,根据裴智勇的调查,名人邮箱泄露虽然画风惨烈,但却不是邮箱泄露的重点。在所有的邮件攻击中,针对名人的只占2%的比例,而排名前三的分别为:大中企业 35%、高等教育机构30%、政府机构22%。
【邮箱攻击中,各个目标占比】
这么说来,企业和政府机构才是黑客们的主要“猎物”。这并不难理解,因为政治和经济往往对这个世界的影响更大,而黑客们往往也想“干一票大的”。
2016年,黑客们真的干过一票大的——黑掉了民主党竞选总部邮箱。这件事情对世界造成的改变已经不能用金钱来衡量了。大批外泄的竞选邮件显示,希拉里表面上温顺和善,背地里正准备给竞争对手按个放血。
那么,究竟希拉里的邮件是怎样被泄露的呢?
说来非常简单,黑客伪装成 Google 的官方客服,给竞选团队成员威廉·莱因哈特(William Rinehart)发了一封钓鱼邮件。邮件内容也很简单:
有人已经破解了你的邮箱密码,请尽快登录修改。
就这样,黑客不费吹灰之力就拿到了团队核心成员的邮箱密码,进而利用这个邮箱在邮件系统内部扩大攻击,最终完全控制了邮件服务器。
民主党的精选团队,智商应该是超群的。然而就是这样一群人精却被简单的把戏忽悠得团团转。问题在于,这些人缺乏基础的邮箱安全意识。
而在钓鱼邮件方面,黑客们可是用尽了自己的智慧。
你现在回想一下,自己有没有收到过邮箱服务商或者管理员发来的“官方邮件”,提示你安全性升级,或者邮箱扩容,或者邮箱迁移。这些邮件非常逼真,有的还带上了逼真的 LOGO,但无一例外它们都需要你进行密码登录验证。而一旦你输入了密码,就等于把自己的邮箱拱手让人。
【伪装成各种姿势的针对企业员工的钓鱼邮件】
如果黑客的仅仅停留在邮件系统,不那么容易引起直接的资金损失。但黑客绝不会老老实实呆在原地。
有人会觉得在中国邮箱并不太流行。艾瑞咨询做了一个调查,结论是中国人使用的企业邮箱服务正在剧烈增长。2009年使用外包企业邮箱的用户只有1275万家,而预计2017年,这个数字是1.35亿。
越来越多的人使用企业邮箱,而人们对于邮箱安全的概念几乎为零,这使得邮箱成为了一个绝好的进攻跳板。
这里有一个血淋淋的中国案例。
一个大型国企的财务人员收到经理的邮件,示意他应该给 A 公司结款,财务人员经过审核发现,确实到了结款的时间,就通过财务系统把钱转给了“A 公司”。
然而,过了几个月,真正的 A 公司找到这家企业,要求结款。这时公司才发现,原来之前的几百万根本没有汇进 A 公司的账户,而是进了黑客的腰包。
这里有一些难以理解的问题:企业资源系统(ERP)和办公系统(OA)是相互独立的,企业资源系统不和互联网连接,而办公系统和互联网连接。如此推断,黑客应该无法接触到财务系统。
经过调查,故事的秘密在于:黑客利用钓鱼邮件攻击了总经理的办公系统,而总经理用于登录办公系统和企业资源系统的密码是相同的,于是黑客顺利跳入了财务系统,不仅伪造总经理向财务发指示,还在财务系统里直接更改了收款企业的账号。
【黑客入侵财务系统示意图】
由此可见,虽然邮箱本身泄露也许并不能造成经济损失,但是鉴于邮箱系统和其他系统千丝万缕的联系,黑客几乎总能找到一种方法渗透到你的核心网络,取你的身家性命。
如果这家中国企业被骗了几百万,看客们还觉得不够刺激,那么请看下面这个故事。
2016年初,专为波音公司生产零部件的航天零部件公司 FACC 遭到了黑客攻击。
黑客的突破口恰恰也是公司内部的办公邮件系统。他们先是利用钓鱼邮件搞定了公司重要人员的企业邮箱,然后入侵了财务会计系统,接下来毫不犹豫地从账面上转走了 5000 万欧元。
五千万欧元,体会一下这个数字有多大。
【帮你体会五千万欧元有多少的图片】
仅仅因为高管手抖,点了一封钓鱼邮件,就让公司的股价当天直接跳水 17%,不用说,公司的首席执行官和首席财务官都因为这件事而引咎辞职。
另外值得一提的是,FACC 这个公司并不像听起来那样离我们很遥远,虽然它地处奥地利,但是它的股份被中航工业收购。实际上,它算是一家中国公司。
理论上来说,黑客能够把钱转走,意味着他们已经对公司的系统实现了全面的控制,他们同样可以看到机密的图纸、商业计划。这些隐性损失是没有办法计量的。
相比之下,个人邮箱泄露导致的电信诈骗损失金额,都算是九牛一毛了。这也是为什么黑客喜欢对企业用户下手的原因。
一个中国企业的网络管理员曾经做过测试,向内网中30000名员工发送邮件,内容非常简单:
我是管理员,我需要你的账号和密码。
结果,有600多名员工不问青红皂白就直接把密码发来,这其中包括副总裁,秘书,高级总监。雷锋网感到了满满的信任。。。可想而知,如果这个邮件是黑客发的钓鱼邮件,企业将会沦陷。
然而,很多企业连这个水准都没有达到。因为对于企业邮箱,员工一般会使用比较简单的密码,也就是“123456”这类弱密码。
【十大弱密码】
根据 360 发布的报告,攻击者只需要掌握十个最常用的密码,就能用它们打开全国十分之一的企业邮箱。而很多企业并没有对密码尝试次数做基本的限制,也就是说黑客可以在一天时间内用成百上千的密码来尝试登录你的邮箱,直到成功为止。
对于企业 CEO 来说,就算他能呼风唤雨,也很难让手下的所有员工使用用数字字母混排的强密码。就算使用了强密码,也很难保证员工这些通用的密码不会在其他的电商、交友平台被泄露。
正是这些看上去无伤大雅的密码习惯,让员工把企业推到了作死的地步。
事实上,鉴于企业邮件安全漏洞百出,很多企业邮箱已经被黑客“常驻”,但所有的人都不知情。
某国内知名的金融企业,2015年4月的一个晚上突然有 200 多个企业邮箱在异地登录,向外发送了大量的赌博和发票的垃圾邮件。虽然经过紧急处置,但还是有170封被成功发出了。
这对于金融企业的声誉来说,简直是巨大的打击。
然而,就在这件事情平息四天后,黑客故伎重演,又对外发送了一百多封赌博广告邮件。
经过溯源,安全研究员发现,其实黑客早在半年前就通过木马和钓鱼邮件控制了企业邮箱系统。经过长期的盘踞“经营”,黑客已经安插了很多方便自己出入的后门。这个黑客组织不仅仅针对一家企业,而是对众多国有企业进行钓鱼攻击。最终发现至少29家企事业单位的邮件服务系统被攻陷,涉及帐号数千个。
【被某黑客组织“拿下”的企业各行业占比】
根据专家的介绍,类似于希拉里邮件门的事件,在中国也曾经发生过:某重要部委的邮箱系统长期被美国方向的黑客控制,幸好最终被安全人员发现,否则将会造成更大的损失。
2016年初,美国最大的有线电视公司时代华纳突然被爆出32万用户邮箱泄露。这件事情的蹊跷之处在于:时代华纳并不认为自己的服务器存在漏洞。
所以,专家推测这些数据有可能是从和时代华纳有合作的第三方公司泄露的。
黑客拿到用户的邮箱以后,可以进行有针对性的欺诈,甚至用这些邮箱密码组合尝试登录其他服务。
让人震惊的邮件攻击此起彼伏。
2016年7月,日本旅游业巨头 JTB 旅行社被黑客入侵。官方声称攻击的来源是一次有针对性的电子邮件钓鱼行动:一位公司的员工打开了一个全日空公司的旅行预定要求。这个看起来很正常的邮件,附带了一种 Word 文档,其中被植入了名为“PlugX”的极其隐蔽的木马。从这个附件开始,黑客的触角逐步渗透到公司的数据服务器。
这次泄露,导致黑客窃取了公司 793 万条护照、家庭住址和电子邮箱地址信息。
这些泄露事件说明一个让人绝望的事实,那就是即使作为个人很好地保护了自己的密码,也难免被服务商这样的“猪队友”出卖。
事实上,说到邮件防护水平,全球都很差,但中国尤其差。
根据 360 互联网安全中心的预测,2017年中国邮箱安全事件会大规模爆发,以下是预测数据:
邮箱盗号,影响企业600万+,50%的企业都会遭遇邮箱盗号攻击
机密信息窃取,影响企业10万+,多数情况下企业是不知情的
利用邮箱盗号进行的商业欺诈,经济损失 50亿RMB+
利用邮箱传播敲诈者病毒造成的经济损失 2亿RMB+
看来,邮箱泄露有一万种姿势。难道我们束手无策吗?裴智勇博士认为,在企业邮箱里推广双因子认证,是目前来看有效的办法。
所谓双因子认证,简单来说就是除了密码之外,再加入额外的一个认证因素。这个认证因素可以是手机短信,也可以是 App 上的动态密码口令。
这种情况下, 即使密码发生了泄露,黑客也无法轻易地登录受害者邮箱。根据这个思路,360 也开发出了一套企业邮箱安全产品。如果你是一位重视企业邮箱安全的 CEO,也许愿意尝试一下。
附:关注雷锋网“宅客频道”公众号(微信搜索:宅客频道),回复“邮件报告”可以查看《2016中国企业邮箱安全性研究报告》全文。
雷峰网原创文章,未经授权禁止转载。详情见转载须知。