防范钓鱼邮件,守护财产安全
近期,境外黑客组织正频繁地展开钓鱼邮件攻击,通过伪造成“财务部/总务部”骗取银行卡账号、身份证、手机号等个人信息实施诈骗,主要以劳动补贴、退税申请等话术引诱收件人扫描文档中二维码后输入相关信息,以此盗取卡内存款。为了确保大家在使用邮件时的安全,我们特此提供“钓鱼邮件防范指南”,希望大家都能提高警惕,严防受骗。
一、什么是钓鱼邮件
钓鱼邮件是指黑客伪装成同事、合作伙伴、朋友、家人等用户信任的人,通过发送电子邮件的方式,诱使用户回复邮件、点击嵌入邮件正文的恶意链接或者打开邮件附件以植入木马或间谍程序,进而窃取用户敏感数据、个人银行账户和密码等信息,或者在设备上执行恶意代码实施进一步的网络攻击活动。
二、钓鱼邮件的分类
(一)附件钓鱼。这类邮件的风险在于邮件中含有附件,附件的类型为可执行文件,一般是病毒执行程序。其他常见的还有Office文件、PDF等,主要是利用宏或者客户端软件CVE漏洞,也有利用加密的压缩文件绕过反病毒检测的。
(二)链接钓鱼。这类邮件风险在于邮件中有网页链接,点开链接是骗子做的以假乱真的钓鱼网站,网站通常会要求用户输入账户信息之类以获取用户敏感信息;另一种链接指向的网页暗藏木马程序,用户如果浏览器存在未修复的漏洞则点开的同时就中招了。
(三)二维码钓鱼。邮件中不直接放过于明显容易识别的单位网站,而是包含有二维码,引导用户扫描二维码进入钓鱼网站。网站会要求用户输入账户信息用于获取用户敏感信息。二维码也会指向附件或者App,要求用户下载App或者相关附件,在App或者附件中植入病毒。
(四)内容钓鱼。这类邮件通常附件不存在病毒,或者无任何外链或者二维码,通过多次邮件来往获取信任后实施进一步欺骗。
三、识别钓鱼邮件主要方法如下:
(一)查看完整的发件人邮箱地址。邮件的发件人地址中包含发件人的姓名或身份,此处的姓名和身份一般是发件人自己声明的,并不唯一。对于可疑邮件(含网页链接、二维码、附件,涉及财务的)需查看完整的发件人邮箱地址。如果发件人邮箱地址是陌生的,或者邮箱地址与发件人声明的身份不一致,很有可能是钓鱼邮件。例如下面这封钓鱼邮件,地址部分声明的身份是“公司财务部”,但邮箱地址是外部地址。
(二)查看完整的文件名。对于附件文件不仅要看文件名,还应注意文件后缀。如下这封钓鱼邮件,地址部分声明的身份是“XX云发票平台”,但邮箱地址却是outlook.com,outlook.com是微软面向个人的邮件服务,一般情况下,正规平台不会用个人邮箱发送工作邮件。此外,文中链接是一个压缩包,而压缩包里是.exe文件,后缀名为“exe”的文件是可执行文件,应警惕木马或病毒。
(三)发件人邮箱地址域名和链接地址域名不一致。对于带有链接的邮件,发件人邮箱地址的域名和链接URL地址的域名不一致的,一般都是钓鱼邮件。尤其是打开链接页面后要求输入邮箱密码的,更应格外警惕。如下面的钓鱼邮件,发件人声明是“系统管理员”,但邮箱真实地址为外部地址,且发件人地址的域名和邮件中链接的域名不一致。
(四)发件人地址的姓名字段不是发件人的身份。企业内部发出的邮件,发件人地址中的姓名字段一般会是真实的人名,少数情况是部门名称,不会将“通知”“警告”等表示邮件主题的词放到姓名字段。管理员不会以用户无法确定的邮箱地址给用户发送重要通知邮件。如果邮件中有链接,一般不会是外部地址,更不会要求输入邮箱密码。
四、防范钓鱼邮件要做到以下“五要”:
(一)杀毒软件要安装。安装杀毒软件并定期更新病毒库,开启杀毒软件对邮件附件的扫描功能。同时定期下载和安装系统和软件的更新包;
(二)登录口令要保密。要做到不向任何人主动或轻易泄露邮箱的密码信息。办公邮箱的密码要定期更换。
(三)邮箱账号要绑定手机。将邮箱账号与个人手机号码绑定,不光可以找回密码,也可以接收“异地登录提醒”信息。
(四)公私邮箱要分离。不用工作邮箱注册公共网站的服务,也不要用工作邮箱发送私人邮件。
(五)重要文件要做好防护。及时清空收件箱、发件箱和垃圾箱内不再使用的重要邮件;备份重要文件,防止被攻击后文件丢失;重要邮件或附件应加密发送,且正文中不能附带解密密码。
五、感染钓鱼邮件应急措施
当点开钓鱼邮件,造成感染后,不要惊慌,可以开展以下几种应急工作,减小钓鱼攻击产生的危害。
(一)修改登录密码。邮箱的登录密码可能已经泄露,应在另外的机器上及时修改密码,防止攻击者获取邮箱中的邮件、联系人等敏感信息,遏制黑客进一步的攻击渗透。
(二)全盘杀毒。钓鱼邮件中的链接或者附件等可能带有病毒、木马或勒索程序。发现异常应及时做全盘扫描杀毒,最好使用多个杀毒软件交叉杀毒。
(三)隔离网络。切断受感染设备的网络连接(拔掉网线或者禁用网络),避免网络内其他设备被感染渗透,使安全事件范围得到控制,防止敏感文件被窃取,降低安全事件带来的损失。