御“内”之策,破钓鱼之局,打响防内部钓鱼保卫战 | 网际思安MailSec内部钓鱼360°防护解决方案

第一部分   了解内部钓鱼邮件攻击

1、内部钓鱼攻击的定义

内部钓鱼邮件攻击,是一种针对企业内部通信安全的网络威胁。这种攻击的核心在于攻击者通过各种非法手段获取员工的邮箱账户密码,从而实现对员工邮箱的控制。一旦攻击者掌握了邮箱账户,他们便能够以员工的身份,向公司内部的其他员工、外部的合作伙伴甚至是其他企业发送钓鱼邮件和垃圾邮件。

内部钓鱼邮件攻击的过程通常包括以下几个步骤:

- 信息搜集:攻击者通过各种途径搜集目标员工的个人信息,以便于猜测或破解邮箱密码。

- 账户入侵:利用搜集到的信息,攻击者尝试登录员工的邮箱账户,并最终取得控制权。

- 邮件发送:控制邮箱后,攻击者会发送伪装成正常工作交流的邮件,以此诱骗其他员工或外部联系人。

图1. 内部钓鱼事件的流程分析

攻击者通过内部钓鱼邮件攻击可进行各种形式的恶意活动,比如窃取更多的登录凭证、敏感数据或者传播恶意软件。由于这些邮件似乎来自于可信的内部源,因此它们往往具有更高的诱骗性,使得收件人更容易被诱导执行有害操作。这种攻击不仅损害了企业的信息安全,还可能对企业的声誉和运营造成长远的影响。因此,认识和防范内部钓鱼邮件攻击对于维护企业的网络安全至关重要。

2、内部钓鱼邮件类型

当攻击者成功控制了员工的邮箱账户,他们可以利用这些账户发起多种类型的钓鱼攻击,旨在窃取敏感信息、破坏系统或进行金融欺诈。

(1)恶意链接钓鱼

黑客控制员工邮箱后,可能会发送包含恶意链接的邮件。这些链接通常会伪装成日常工作中的合法链接,如文件共享、在线调查或系统更新。一旦收件人点击链接,他们可能会被重定向到恶意网站,或者在不自知的情况下下载恶意软件。

图2. 恶意链接钓鱼示例(含钓鱼链接)

(2)恶意附件钓鱼

这种类型的钓鱼邮件包含看似正常的附件,如文档、图片或压缩文件。附件中嵌入了恶意代码,一旦打开,这些代码就会在受害者的计算机上执行,可能导致数据泄露、系统损坏或进一步的网络渗透。

图3. 恶意附件钓鱼示例

(3)鱼叉式钓鱼(Spear Phishing)

在鱼叉式钓鱼攻击中,黑客会根据收件人的个人信息和工作背景定制邮件内容。这些邮件通常针对特定个人或小团体,具有极高的欺骗性。攻击者可能会请求敏感信息、诱导执行特定操作,或诱骗受害者参与诈骗活动。

(4)克隆钓鱼

克隆钓鱼利用受害者熟悉的邮件内容,攻击者复制一封真实的邮件,并在其中插入恶意链接或附件。由于邮件内容和格式与真实邮件相似,受害者很难察觉其中的差异,从而增加了钓鱼成功的可能性。

(5)邮件伪造(Email Spoofing)

通过邮件伪造,黑客可以伪造发件人信息,使邮件看起来像是由受信任的同事或上级发送的。这种类型的钓鱼邮件通常用于获取敏感信息、诱导转账或执行其他恶意指令。

图4. 邮件伪造类型钓鱼邮件示例

(6)商业电子邮件妥协(BEC)

在BEC攻击中,黑客冒充公司内部的合法人员,通常是高级管理人员或财务人员,通过邮件指示进行紧急转账或更改支付信息。这种攻击不涉及恶意软件,而是依赖于社会工程学技巧。

(7) 供应商欺诈

在这种攻击中,黑客通过被控邮箱向企业的合作伙伴发送邮件,通过邮件要求更改支付账户信息。由于合作伙伴关系通常建立在信任基础上,这种类型的钓鱼邮件较难被发现。

图5. 供应商欺诈钓鱼邮件示例

(8)系统通知伪装钓鱼

黑客可能会发送伪装成系统通知的邮件,如账户锁定警告、安全更新提示或密码重置请求。这些邮件通常会诱导受害者点击链接或提供登录凭据。

图6. 恶意链接钓鱼示例(含钓鱼链接)

3、安全防护的难点

在当今的企业环境中,内部钓鱼邮件攻击越来越频繁,然而因为以下一些难点,企业很难对内部钓鱼邮件进行防护:

(1)信任因素

内部钓鱼邮件攻击之所以难以防范,很大程度上归因于信任因素。由于邮件来源于公司内部的已知邮箱,收件人往往会自动降低戒备心,认为邮件是安全的。这种天然的信任感使得员工在处理内部邮件时,不太可能怀疑其内容的真实性,从而更容易成为攻击的目标。

(2)隐蔽性

内部钓鱼邮件的隐蔽性是防护的另一大难点。由于邮件是在内部网络中发送,它可能不会触发外部邮件过滤系统的警报。传统的安全措施往往更注重防范来自外部的威胁,而对于来自内部的攻击则显得力不从心。

(3)内部信息利用

攻击者在发起内部钓鱼邮件攻击时,可能会利用公司内部的术语、项目名称或具体业务信息,使邮件内容看起来更加真实和具体。这种对内部信息的精准利用,使得员工很难从内容上辨别邮件的真伪,从而增加了防护的难度。

(4)模拟信任人

另一个防护难点是攻击者可能会模仿同事或上级的语气和风格。他们通过研究目标人物的邮件习惯,甚至可能复制以往邮件的内容,来制作逼真的钓鱼邮件。利用收件人对发件人的熟悉度,攻击者能够大大增加邮件的可信度,使得员工在不经意间泄露敏感信息或执行有害操作。

综上所述,内部钓鱼邮件防护的难点在于其利用了员工的信任、网络的隐蔽性、内部信息的熟悉度以及模仿信任人的手法。因此,企业必须采取更为复杂和细致的安全策略,以有效应对这些挑战。

第二部分 网际思安MailSec内部钓鱼360°防护方案

为了应对内部钓鱼邮件攻击的挑战,网际思安全新推出了“MailSec内部钓鱼360°防护解决方案”,旨在为企业提供了一套全面的内部钓鱼邮件防护体系,确保企业在面对内部钓鱼邮件攻击时的安全性和应对能力。通过采用这一解决方案,企业能够有效降低钓鱼攻击的风险,保护关键信息资产不受侵害。

“MailSec内部钓鱼360°防护解决方案”的核心理念是防治结合,全面覆盖内部钓鱼邮件防护的每一个阶段。该方案不仅注重事前的预防,还包括事中的检测和事后的审计,形成了一个完整的防护闭环。

图7. MailSec内部钓鱼360°防护解决方案

(一)事前防御阶段

内部钓鱼的事前预防是指在企业内部采取一系列措施,旨在在钓鱼攻击发生之前降低其成功的可能性。这包括实施多因素认证(MFA)来增加账户安全性,以及通过钓鱼演练平台对员工进行安全意识培训,提高他们识别和防范钓鱼邮件的能力,从而在攻击者发起攻击前,建立起一道坚固的防线。

MFA多因素认证

网际思安公司推出的Exchange多因素认证(MFA)解决方案,是一种先进的账户安全保护机制,确保OWA网页邮箱、移动设备和桌面Outlook的安全性。通过实施MFA,彻底解决了黑客通过暴力破解获取密码的可能性。即使攻击者通过社会工程学或其他手段获取了员工的密码,也无法轻易访问邮箱账户。

图8. Exchange多因素认证支持的多种认证方式

该解决方案综合了多种可选的认证方式,确保用户在访问Exchange服务器及其服务时的身份真实性,从而有效防御恶意攻击和未授权访问。

1. 短信认证码

网际思安的Exchange MFA允许用户在输入用户名和密码之后,通过接收短信的方式来获取一个动态生成的认证码。这个认证码是临时的,通常在几分钟后就会失效,从而确保即使短信被拦截,也不会对账户安全造成长期威胁。用户只需将收到的认证码输入到登录界面,系统便会验证其有效性,进而完成登录过程。

2. 图形验证码

图形验证码是一种常见的辅助认证手段,它要求用户在登录时识别并输入显示在屏幕上的扭曲或彩色字符。这种验证方式可以有效防止自动化脚本和机器人程序的攻击,因为它需要人类的视觉识别能力才能完成。

3. OTP一次性密码

一次性密码(OTP)是一种在网际思安Exchange MFA中广泛应用的认证方式。用户可以通过专门的OTP生成器应用(如Google Authenticator)来生成基于时间的一次性密码,或者通过硬件令牌来获取。每次登录时,用户都需要提供一个全新的密码,这使得即使密码被窃取,也无法用于后续的登录尝试。

4. 二维码扫描

二维码扫描认证是一种便捷的认证方式,用户通过手机上的认证应用扫描电脑屏幕上显示的二维码,即可自动完成身份验证过程。这种方式结合了便捷性和安全性,因为二维码是动态生成的,并且具有时效性。

钓鱼演练平台/服务

该方案还包括邮件安全意识培训活动,通过模拟钓鱼攻击的演练平台,通过模拟黑客邮件钓鱼的攻击手段,以攻击者身份通过钓鱼演练平台向组织指定用户邮箱发送钓鱼邮件,并对被钓鱼成功的安全意识薄弱职工进行风险预警提示。通过分析演练结果,知道组织邮件安全的薄弱环节,从而能对症下药。

图9. 思安钓鱼邮件演练平台/服务

(二)事中检测阶段

内部钓鱼的事中检测是指在企业邮件通信过程中,使用特定的工具和技术实时监控并识别潜在的钓鱼邮件。这通常涉及部署专用的内部钓鱼检测插件,该插件能够自动分析内部邮件内容,并通过邮件安全检测引擎进行深度检查,以便及时发现并拦截那些企图欺骗员工、窃取敏感信息的钓鱼邮件,从而在攻击进行中阻止其进一步扩散。

Exchange内部钓鱼检测插件

思安Exchange内部钓鱼检测插件是一款专为Microsoft Exchange服务器设计的专用内部钓鱼检测插件。它能够有效地对企业内部流转的邮件进行自动识别和安全分析送检,以确保邮件通信的安全性。

图10. 内部钓鱼检测插件工作流程

该插件的工作流程如下:

1. 暂停内部邮件的发送

- 邮件拦截:当企业内部的邮件在Exchange服务器上发送时,思安Exchange内部钓鱼检测插件会立即介入,暂停这些邮件的发送流程。这一步骤确保了所有内部邮件都将接受插件的审查,而不会直接送达收件人。

- 区分邮件流向:插件会智能地区分内部邮件和外部邮件。外部邮件,即那些发送到企业外部地址的邮件,将不会受到影响,继续保持正常的发送流程。

2. 上报内部邮件进行安全检测

- 邮件提取:暂停的内部邮件将被插件提取出来,并上传至邮件安全检测引擎。

- 安全检测:邮件安全检测引擎会对上传的邮件执行全面的安全检测,这包括但不限于病毒扫描、钓鱼攻击识别、垃圾邮件过滤等。这些检测利用了最新的安全算法和威胁情报,以确保检测的准确性和时效性。

3. 根据检测结果处理邮件

- 干净邮件处理:如果邮件经过检测确认是安全的,即没有发现病毒、钓鱼链接或垃圾邮件特征,思安Exchange内部钓鱼检测插件将允许该邮件继续其正常的发送流程,确保内部通信不受不必要的延迟。

- 风险邮件隔离:对于检测结果显示存在风险的邮件,插件会立即将其隔离,防止其进一步传播可能的安全威胁。隔离的邮件不会送达收件人,而是被隔离存储在安全位置,供安全团队进行进一步的审查和分析。

- 通知与响应:在隔离风险邮件的同时,插件会自动通知相关的安全管理人员,并提供详细的检测报告。安全团队可以根据这些信息采取相应的响应措施,比如限制发件人、更新安全策略或进行深入的调查。

通过这三个步骤,思安Exchange内部钓鱼检测插件为企业提供了一个强有力的安全防线,帮助组织及时发现并应对内部邮件通信中的安全威胁,从而保护企业的信息资产不受侵害。

邮件安全检测引擎

思安邮件安全检测引擎是网际思安公司凭借其近20年的邮件安全经验打造的一款高效内部邮件安全检测引擎。该引擎支持Restful API接口和SMTP协议接口,允许外部设备通过这些接口上传邮件进行安全检测。这一功能使得企业能够快速识别并拦截钓鱼邮件,防止其在内部网络中传播。

思安邮件安全检测引擎运用了业界领先的连接层检测技术、邮件内容检测技术和威胁情报,以实现对钓鱼邮件、病毒邮件、垃圾邮件等威胁的精准识别。引擎在邮件传输的连接层进行实时监控,分析邮件传输行为和协议异常,结合发件人信誉评估,预判邮件的安全性。同时,它通过深度内容分析、语义识别和模式匹配技术,细致检查邮件的各个部分,深度揭示潜在的威胁。此外,思安邮件安全检测引擎与全球威胁情报网络相连,实时更新威胁信息,并具备智能学习功能,根据最新的攻击模式调整检测策略。这种综合性的防御机制不仅提高了识别精度,还通过与安全研究团队和业界伙伴的协作,构建了一个协同防御的安全网络,有效保护了组织的信息资产。

图11. 思安邮件安全检测引擎的检测结果

(三)事后审计阶段

内部钓鱼的事后审计是指在对企业员工已接收的内部邮件进行回顾性检查的过程中,专门识别和筛选出可能的钓鱼邮件。这一过程涉及对历史邮件的深入分析,一旦发现钓鱼邮件,便会立即通知相关员工,并指导他们采取适当的措施,以防止潜在的信息泄露或安全事件,同时强化员工对邮件安全的认识和警觉性。

邮件归档管理系统

思安邮件归档管理系统的核心优势之一在于其强大的邮件获取能力,它支持多种协议和方法,如IMAP、POP3、EWS、SMTP、本地导入和共享导入等,以全面捕获企业的历史邮件数据。然而,针对内部钓鱼邮件防护,该系统的真正威力在于其与邮件安全检测引擎的无缝集成,归档的邮件可以上传至邮件安全检测引擎进行深度审计和检测,确保即使攻击发生,企业也能够迅速识别问题所在,采取有效措施,保护关键信息资产不受侵害,并维持业务的正常运行。

图12. 通过思安邮件归档系统进行事后审计的流程

第三部分  典型成功案例

某大型中国跨国企业,拥有数万名员工,其业务遍布世界各地,拥有庞大的内部通信网络。由于企业规模庞大,信息资产安全至关重要。为了防范日益复杂的内部钓鱼威胁,企业决定采用“网际思安MailSec内部钓鱼360°防护解决方案”来加强其内部邮件安全防护。

历史邮件检查与账号安全增强

在实施“网际思安MailSec内部钓鱼360°防护解决方案”后,IT安全团队决定对过去三个月的历史邮件进行深度检查。防护系统在分析了数百万封邮件后,成功识别出3个曾经发送过内部钓鱼邮件的被盗号邮箱账号。这些账号被攻击者利用,向其他员工发送了含有恶意链接的邮件。IT安全团队立即对这些账号进行了安全加固,包括更改密码、限制邮件发送权限等措施。

防范针对员工的内部钓鱼邮件攻击

在近期的一次网络安全事件中,IT安全团队成功防范了一起针对员工的内部钓鱼邮件攻击。“网际思安MailSec内部钓鱼360°防护解决方案”及时识别并拦截了一封伪装成人力资源部门发出的邮件,该邮件试图诱使员工点击含有恶意软件的链接。通过迅速响应,公司不仅阻止了攻击的蔓延,还对员工进行了紧急安全培训,提高了他们对钓鱼邮件的警觉性。

通过“网际思安MailSec内部钓鱼360°防护解决方案”,该大型跨国企业不仅成功发现了被盗用的邮箱账号并增强了其安全性,还及时防范了一起针对员工的内部钓鱼邮件攻击。这些措施显著提升了公司的整体邮件安全水平,保护了客户数据不受侵害,同时也增强了员工对网络安全的认识和防范能力。

想了解更多关于“网际思安MailSec内部钓鱼360°防护解决方案”的最佳实践,或者需要咨询适合您业务的最佳解决方案吗?网际思安的邮件安全专家团队随时准备好回答您的问题。尽快与我们联系:400-099-6608

关于MailSec Lab

北京网际思安科技有限公司麦赛邮件安全实验室(MailSec Lab)依托于网际思安过去12年积累的邮件威胁数据,汇集了一批10+工作经验的行业专家,专注于新型邮件威胁的调研,和下一代邮件安全技术的创新性研究。在过去十多年中,MailSec Lab服务于3000+家各个行业领域的典范客户,获得客户的广泛赞誉。与此同时,实验室积极与国际和国内知名信息安全厂商合作,广泛开展威胁情报互换、共同研究等合作,构建共同防御的威胁防护体系。

图片如果您在邮件安全及应用服务方面有任何问题欢迎随时联系北京网际思安科技:400-099-6608。

【声明】本文部分图文来源于网络,如果对版权有任何异议,请及时联系我们立刻删除。

行业资讯

邮件安全领域国产领跑厂商