0x00 背景

在网络安全运维报告、应急响应报告中,我们经常看到”分析研判”这一词,我在最近一段时间的现场值守服务过程中,针对邮箱泄露这一问题进行了深入的分析研判。

 

邮件攻击依然是黑客首选,特别是邮件钓鱼攻击。那么我们经常成为攻击对象,收到垃圾邮件和钓鱼邮件的原因是什么呢?其中一个明显的原因肯定是你的邮箱地址已被攻击方或垃圾邮件发送方收集。接下来我们针对这一问题进行分析研判,并采用渗透工具集来确定哪些邮箱容易被攻击,同时确定容易被攻击的邮箱从哪里来。

0x01哪些邮箱容易被攻击?

邮件攻击其目的是欺骗受害人来进行一些操作,最终控制受害人,最常见的方式是凭证钓鱼,木马传播,因为内容多变,防范难度也高。攻击者只需要通过简单的欺骗手段便能够成功诱惑受害者打开附件、点击链接或泄露凭据,无需任何漏洞就可以完成。

 

在渗透测试过程中,信息收集会收集大量的资源,其中就包括邮箱,但是渗透报告一般没有体现这一块,导致风险分析不足。这里我们可以采用GoLismero、Dmitry、MSF、 Theharvester等具有收集Email信息的功能的工具进行自行测试效果。来,接下来跟我一起通过简单的步骤进行分析,你就会发现这些邮箱确实容易成为被攻击的对象。

 

使用Theharvester(kali 系统自带工具)命令,输出简单的邮箱后缀域名,即可获取已泄露于互联网的邮箱地址(当然这些邮箱地址就是容易受到攻击的邮箱地址)。如下图所示:

那么邮箱泄露的途径有哪些呢?邮箱地址公开发布在相关信息中这是一种,针对这一种可以采用图片的方式或用#替代@的方式发布邮箱地址。还有哪些途径呢?接着我们测试另一个域名,如下图所示:

我们手工在google中查询这些邮箱,希望确定这些邮箱的来源。我选其中一个在互联网上找了一下,出现在百度文库中,如下图所示:

文中password、url 、账户没有脱敏或打码,直接导致敏感信息泄露。那么敏感信息为什么会被上传到互联网并直接暴露在互联网上,这是另一个值得思考的数据泄露的问题。

0X02来个钓鱼实例演示

邮箱地址收集到了,接下就是攻击了。我们来个钓鱼实例演示,关于准备钓鱼网页本文暂不进行介绍。

 

下面这些图是被攻击者收到的邮件,不难看出,是攻击者发给webmaster的,大概意思是”你有一些文件需要收取,请点击下面链接进行获取你的文件”点开链接之后,跳转到一个网页让你输入password。一旦你输入密码点击登录,攻击者便获取了你的邮箱密码,攻击者直接通过外网开放的公司邮件系统登录你的账户,收集更多的信息再进行下一步攻击。

钓鱼演示一:

钓鱼演示二:

通过二个简单的例子,我们都看到你的邮箱地址信息被泄露后,极易被实施进一步的攻击,如果安全意识不强则将极易被攻击成功。

0X03如何防范钓鱼垃圾邮件

有有人也许会说,企业有反垃圾邮件系统就高枕无忧了,事实证明并不是,下面这个是8-9月某企业邮件情况,可以看出邮件数量走势,其中垃圾邮件占比80%。

下面这张图是周邮件情况,显示了接收量和垃圾邮件量,以及未被拦截的邮件量。

钓鱼邮件之所以难以防范,是因为有一些邮件是正常的,并不是伪造的发信人或者内容垃圾,而钓鱼邮件往往就存在于这些未被拦截的邮件范围内。这些正是需要人工去审查的,这就是安全运维及安全分析师的价值所在。

0X04 总结

    本文就哪些邮箱容易被攻击和容易被攻击的邮箱从哪里来这两个问题展开分析与验证。由泄露的邮箱引起的安全风险,解决办法并不是上传统的安全设备再或者渗透测试就能解决,还需整体提升安全意识,并不断完善企业的信息安全防护体系。

 

我们认为需要有反垃圾邮件系统,需要开展数据分类分级咨询服务,然后根据数据分类分级进行敏感数据监测(像上文中敏感信息泄露到百度文库,就可以在上传过程中被拦截掉)、敏感信息加密与防泄漏措施。

 

文章:https://mp.weixin.qq.com/s/zjk378J5yZtvv3Q2H2onKw

微信公众号:赛博朔方

版权声明:本文为yuleitest原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://www.cnblogs.com/yuleitest/p/9681728.html