【网安智库】携手360 公司初探邮件安全策略

本帖最后由鴻鴈于 2017-3-22 17:10 编辑 [/i]

1.jpg (62.16 KB)

下载附件

360社区

2017-3-22 17:05 上传

国际：电子邮件安全事件触目惊心
俄罗斯2 亿电子邮件账号被售卖
2016 年5 月，在俄罗斯黑市上，大约有超过 2.72 亿个被盗的电子邮箱和其他网站登录凭证被售卖，其中大部分是俄罗斯本地的电子邮箱服务Mail.ru 的用户名和密码，此外还包括了少部分谷歌、雅虎以及微软的电子邮箱登录凭证。令人意外的是，这样一个庞大的被盗邮箱数据正在以 50 卢布( 不到 1 美元) 的超低价格对外销售。这一大规模的被泄露数据可以用于进一步非法获取用户信息，或是进行钓鱼攻击，导致用户的财务信息或名誉受损风险增长。
带毒邮件盗取日大型旅社800 万用户资料
2016 年6 月，日本大型旅行社JTB 宣布，因员工打开钓鱼邮件导致网络遭到非法入侵，有近800 万客户资料外泄，包括姓名、地址及护照号码等。办案人员称，该钓鱼邮件伪装成全日空(ANA) 发来的电子邮件。邮件地址包含“ana”，内容为提醒确认机票预定。员工打开该邮件后，导致电脑及服务器中毒，大量资料泄露。警方以违反《禁止非法入侵电脑法》进行调查，从邮件IP 位置得知，该邮件发送源头在海外。
尼日利亚电邮诈骗6000 万美元
2016 年8 月，尼日利亚抓获一名涉嫌在全球范围内利用数千封电子邮件实施诈骗的跨国犯罪团伙头目。这名嫌犯为40 岁的尼日利亚籍男子，人称“迈克”。据信该嫌犯已使全球数百网民蒙受6000 万美元损失。其中一人被骗金额高达1540 万美元( 约合1.02 亿元人民币)。嫌犯的作案手法包括：篡改供应商的电子邮件，给采购商发去虚假信息，要求其向该团伙控制的银行账户打钱；控制企业高管的电子邮箱，利用该邮箱要求负责财务的雇员电汇款项等。
德国莱尼集团遭邮件诈骗4000 万欧元
2016 年8 月12 日，作为欧洲最大的电线电缆制造商、全球第四大供应商的德国莱尼集团在北罗马尼亚的分公司收到了骗子模仿官方支付需求发出的诈骗邮件。莱尼在北罗马尼亚分公司的财务官认为，这封邮件是莱尼德国总部的顶级高管发来的，而且该公司的信息系统也是欧洲最安全的系统之一，于是4000 万欧元就这样被汇到了骗子的账户上。这一消息致使该家公司股票下跌5 至7个百分点。
雅虎逾5 亿用户资料两年前被窃
2016 年9 月22 日，即将谢幕的美国互联网公司雅虎证实，至少5 亿用户的账户信息在2014 年遭黑客盗取，这创造了史上最大单一网站信息遭窃的纪录，也让正在出售核心业务的雅虎再受重创。雅虎在一份声明中表示，受影响用户的姓名、邮箱地址、电话号码、出生日期、密码以及部分取回密码时的安全问题，都遭到了泄露。
希拉里邮件门影响美国大选
2016 年11 月，希拉里因“邮件门”最终落败美国总统竞选。希拉里在担任国务卿期间，从未使用域名为“@state.gov”的政府电子邮箱，而是使用域名为“@clintonemail.com”的私人电子邮箱和位于家中的私人服务器收发公务邮件，涉嫌违反美国《联邦档案法》关于保存官方通信记录的规定。希拉里因此被美国联邦调查局调查，民众支持率节节下降。
国内：企业机构电子邮件面临惨痛的现实

看过以上资料，人们也许会觉得邮件泄露案例都发生在国外，中国民众目前也受到邮件攻击了吗？除了众所周知的网易邮箱泄露用户信息事件，在这里跟大家分享两起2016 年发生的360企业安全中心截获的重大邮件攻击事件。
360 互联网安全中心研究员裴智勇在接受本刊采访时说，一起事件发生在2016 年9 月，360公司与合作厂商同时接到了国内某知名金融公司用户的举报。在本月某日晚上，该公司的邮箱系统中突然有300 余个账户通过异常IP 登陆后，同时对外发送大量赌博、发票类垃圾邮件，最终约有170 余封垃圾邮件被成功发出。在对相关异常邮箱进行紧急处理后，在之后的4 天里，又有100 余个该公司邮箱账号同时对外发送内容类似的垃圾邮件。360 通过深入调查发现，在2015年4 月，该公司的大部分员工收到了一封OA 钓鱼邮件，在处理这封钓鱼邮件时，公司员工毫无察觉地将自己的账号密码泄露出去。接下来又发现攻击者最早的活动出现在2014 年8 月，对该名攻击者的继续追踪溯源揭示了一个让人惊讶的事实。上文提到的金融公司只是被攻击者控制的众多企业之一，其控制的企业用户邮箱共涉及29 家企业和机构，其中制造业企业9 家、互联网企业7 家、通讯类企业3 家、事业单位2 家、金融证券2 家，还包括房地产、教育、医疗、律师事务所等等。
再来看2016 年360 企业安全中心截获的另一起邮箱诈骗案例。某大型企业下属单位的财务总监收到一名总经理发来的催款邮件，要求尽快给一个供应商结账。财务总监和会计检查相关账户，认为项目运作流程无误，随即付款。但付款之后不久，供应商表示并未收到款项。接下来通过调查发现几百万元人民币款项并没有被付到供应商真正的账户上，而是被直接付到了一名骗子的账户。攻击者是怎样实施犯罪的呢？原来这家公司的财务系统是跟外网隔离的，账务系统有专门的企业资源管理系统（ERP），企业员工管理系统即OA 办公系统则可以从互联网直接登录。通过OA 系统又可以登陆公司的ERP 系统。
黑客首先入侵OA 系统盗取了总经理的邮箱账号，通过总经理邮箱发出了所谓的催款邮件。接着又用该账号给财务总监发送邮件。随后，他入侵公司的ERP 系统，修改了收款账户，导致财务付款时直接把对应款项汇入黑客账户。这本身是黑客通过多种技术手段形成的网络经济诈骗活动，“邮件”在其中扮演了很重要的角色。
OA 钓鱼邮件通常伪装成安全升级、系统扩容、邮件搬家等形式骗取人们的信任。当用户点击虚假页面进行登录时，输入的账号、密码就在不知不觉中泄露了。
危害：邮件将成为2017 年网络安全的重灾区

很多人都会有这样的疑问：邮件还重要吗？现今的中国是一个社交网络普及的时代，早期是通过打电话，现在是通过社交网络、微信、微博，很多人认为电子邮箱的使用率越来越低。但事实上并非如此，从企业办公的角度来说，邮件的使用率越来越高。

来自艾瑞的一个统计数据显示，2009 年中国的企业邮箱用户只有1200 万，2016 年已经达到1.1 亿，到2017 年预计会达到1.3 亿左右。邮件安全问题也许一时间并不会对普通公众产生特别大的影响，但对于政府、企业以及各种机构，其影响却在日益增大，电子邮件的使用率越来越广。
从360 公司发布的《2016 中国邮件安全研究暨2017 安全预警》一文对以往各种邮件攻击事件的分析来看，邮件攻击事件最大的受害者是企业，有35% 的攻击事件瞄准大中型企业，瞄准政府机构的大概占22%，瞄准高等教育机构占30%，科研机构占8%。其中针对关键个人的邮件攻击只占攻击整体的2%。有关人士预测，邮件问题将成为2017 年网络安全的重灾区，预计给企业造成的经济损失将超过50 亿元。
分析：全球的邮件安全防护水平还非常低

针对企业的钓鱼邮件中80% 以上是OA 钓鱼邮件，其主要是盗取账号密码，进而利用这些账号密码获取邮件信息。盗取账号密码通常有以下几种方式：弱密码、钓鱼网站、木马病毒, 以及入侵邮箱服务器脱库。
360 公司通过长期对国内电子邮件系统进行安全监测，做出全球邮件攻击形势的发展预测。
邮件盗号
从目前的监测来看，至少50% 的政企机构都会遭到盗号攻击。中国已经注册的企业有1200多万家，加上各种机构和事业单位这一数据会更庞大。2016 年仅邮箱盗号的攻击就超过了600 万次，企业会因此而遭受重创。
机密信息窃取
邮箱账号被盗，有很多攻击者是以发送垃圾邮件或其他不法目的为主，很多普通员工的邮箱被盗之后，里面并没有太机密的信息。真正以窃取机密信息为目的的邮箱入侵比例会比纯粹的盗号攻击低一些。然而，2016 年仍有超过10 万家企业受到了影响。绝大部分企业在其信息被盗后并不知情，只会产生隐性的泄密和隐性的经济损失。
敲诈者病毒
最早的敲诈者病毒可以追溯到1989 年的“PC Cyborg”，但随着加密算法的完善，当前的敲诈者病毒已与之前大不相同，它主要以高强度密码学算法加密受害者电脑上的文件，并要求其支付赎金以换取文件解密，因此在部分场合也被称为密锁类木马。由邮件引发的敲诈者病毒，将给中国民众造成两亿元人民币的经济损失。在国外其经济损失规模已经达到十亿美元以上。
预防措施：技术与法律并重

总结来看，目前邮件安全问题已经变得非常严重，在未来一段时间内可能会产生灾难性的后果；而这些灾难性的危险目前却并不被公众普遍认知，或者并不被大家特别重视。在这样的情况下，进行更高级别的安全预警，以防范相关危险的出现非常必要。
那么，面对邮件安全问题我们该怎么办？360 企业安全集团总裁吴云坤在接受采访时表示，做好邮件防盗系统应从以下三方面来考虑：防盗号、防窃密、防恶意。
防盗号：防弱口令，防暴力破解
盗号是邮件安全中一个很普遍的现象，是通过欺骗的方式获取用户的信息。今天碰到的大量问题也是最简单的问题，就是“口令问题”。360 公司采用的思路是在企业内部建立一种验证通道，就算用户的邮件口令是123456 都没关系，因为后台每次发给用户验证信息是变化的，只有把这两者结合在一起才能成为一个真正的口令，这种模式叫“双因子认证”，用账号、密码+ 动态口令的方式保障账号安全。
吴云坤表示，“ 360 是采用移动方式来实现低成本的一次性口令。在这种模式下盗取密码没有用，而且对于企业来说很方便。在这个过程中，通过移动的方式弹出一个六位密码。这看起来就跟我们平常做交易认证是一样的，但内部的很多时间细节却不太一样，我们尽量把技术细节隐藏在非常方便的使用模式之下。”
“无论对政府还是央企客户，他们怕的是买对应机，安卓手机或苹果手机不支持怎么办？我们的解决方案是都支持的，客户也特别害怕改造邮件系统，我们的解决方案是不需要改造邮件系统，这都是在企业用户当中非常重要的需要首先解决的问题。很多媒体问弱口令是怎么解决的？公司不可能跟黑客一样，把所有的弱口令都枚举出来，根本的方法是采用动态口令的方式来解决这一问题。”
防窃密：内容加密、通道加密、存储加密
内容加密、通道加密包括层层加密问题。很多用户在使用保密系统发邮件时都特别害怕，他们会说：“你送一个光盘给我，加密没用，加密容易破解，我们不怕通道上的破解，怕邮件服务商会出问题。邮件服务商出现问题，指定邮箱上的邮件就会被轻易拿走。所以，360 公司要解决的第二个问题就是“内容加密”。无论是通道的，还是存储在邮件服务器上的存储加密，对于许多涉密行业的用户来说都至关重要。因为一旦邮件服务器被控制，就会导致很大的行为风险。相比过去的方案，360 公司采用非对称的方式加密邮件。例如给同事发送邮件，对方的手机号和发送方的手机号，甚至邮箱都会作为公钥、私钥中的一部分，以此来解决便捷的问题。这种先加密，再传输，然后对传输通道也进行加密的模式不仅在邮件中会采用，未来在各种云端服务上也会采用。
防恶意：防钓鱼、防木马、防病毒
在中国为什么有超过70% 的安全事件源于钓鱼邮件、木马邮件？因为犯罪分子利用钓鱼、木马窃取个人信息非常简单。有时为确保邮件安全不仅要保护邮箱口令、邮件的内容，还要防恶意。它是不同层次的安全，也是360 公司之前工作的重点。木马的识别与过去病毒的识别比较类似，但钓鱼邮件的识别是非常困难的。目前采用机器学习的方式来实现，即对各类钓鱼邮件的样本进行训练，最后识别出新的钓鱼邮件，这是云端大数据技术的一种再利用。这种模式对于互联网公司来说，有非常多的经验，依靠邮件的源头、发邮件的频率和邮箱地址就可以识别，而不是单单考虑内容。
从安全整个防护的角度来说， “三防”绝对不是孤立的，任何一个点出现问题，另外两个点也会同时出现问题。三者只有有效结合才能最终保障邮件安全。
360 安全专家裴智勇介绍说，过去很多机构号召大家要提高安全意识，提高防范意识。事实证明，提高普通个人防范安全意识是非常困难的。信息安全厂商希望通过多种技术手段来避免让大众努力去掌握一种复杂的方法。360 公司的双因子认证在行业内并不是一个罕见的技术，但把它做到了手机上，做成一个APP，这样一个小小的改变就使操作变得很方便。
“首先，双因子认证有很多方式，在交易当中最常用的是短信验证码，但实际上短信验证码非常容易被窃取。还有就是生物识别技术，例如指纹，它具备唯一性，但不具备不可复制性。所以指纹信息一旦泄露，终生都不能修改。从数据安全的角度来说，生物识别技术会给使用者增强一种‘可控感’，但是从密码学的角度来说，它的安全性是有限的。只有动态的密码和加密技术，才是密码认证领域里相对可靠的安全模式。”
360 企业安全集团产品副总裁左英男补充说，还有一个“成本”问题，对于广大的企业机构来讲，用双因子动态口令是一种低成本的，便于实现的和更安全的保护方式。
除此之外，邮件安全事件在某种程度上与个人信息被泄露也有着千丝万缕的联系。北京师范大学法学院、亚太网络研究中心主任刘德良教授近日在接受焦点访谈记者采访时表示：没有滥用就没有买卖！所谓的个人信息“泄露”其实就是出卖！而买者的目的就是滥用。
由于个人信息泄露维权难，犯罪成本低，导致了个人信息在网络黑市被买卖、被滥用，甚至被用来诈骗犯罪。刘德良教授指出，必须通过立法有效加以防范，才能从源头遏止个人信息泄露问题。有关收集、存储和使用个人信息的部门和单位更应负起责任。不仅要在技术层面加强信息保护，更应建立制度并严格执行。