强化感知阻断,加快响应处置,提高防范意识——浅议高校钓鱼邮件应对策略
日期:2023年06月20日 阅:159
作者简介:
夏正伟,男,武汉大学信息中心副主任,Coremail管理员社区特邀大咖
钓鱼邮件是一种常见的电子邮件攻击类型,发送钓鱼邮件的攻击者通常把自己伪装成受信任的发件人,主要目的包括诱导受害者访问假冒网站或回复邮件,以便获取敏感数据、骗取钱财,还可能在受害者计算机上安装恶意软件,取得控制权或盗取、破坏文件。根据研究统计,2022年全球邮件安全威胁中钓鱼邮件占邮件攻击的绝大部分,高达68.47%。伴随全球地缘政治的改变,近年来不同国家之间的邮件安全攻击在持续增长。我国在2022年遭受的钓鱼邮件攻击数量居世界第二位,相比2021年增长了78%。电子邮件是高校师生对外联系的重要工具,在科研交流中发挥重要作用,近年来,针对高校师生这个特定群体的钓鱼邮件攻击,呈现出伪装强、频次高、危害高等特征。2022年6月22日,国内某著名大学发布声明称,近期学校电子邮件系统遭受网络攻击,有来自境外的黑客组织和不法分子向学校师生发送包含木马程序的钓鱼邮件,企图窃取相关师生邮件数据和公民个人信息,给学校正常工作和生活秩序造成重大风险隐患,初步判定此次事件为境外黑客组织和不法分子发起的网络攻击行为。最大程度降低钓鱼邮件攻击带来的危害,需要邮件系统厂商、系统管理员、电子邮件用户等相关方共同采取有效措施来应对。
一、强化感知阻断
钓鱼邮件的发送,通常是有组织、机器化、规模化的行为,在频次、来源、内容上与正常邮件的不同之处,是邮件系统识别判定的重要依据。邮件系统厂商需要对钓鱼邮件威胁情报进行实时的追踪,洞察其中的变化趋势,加快内容特征、关键词库、RBL的更新频次,在源头上强化对钓鱼邮件的感知和阻断效果。对钓鱼邮件常用的伪装管理员身份、伪装真实发件地址、伪装超链接实际URL、利用常见软件漏洞提权的行为,应该采取有效的应对措施,如对官方管理员发送的邮件增加特定标记,将发件人名称(如邮件头中的Sender:********)中有关邮箱地址(********@********.com)部分去除,将可疑超链接通过URL跳转增加提示,移除伪装扩展名的附件等。
二、加快响应处置
对于绕过防范、完成投递的钓鱼邮件,邮件系统管理员需要积极采取补救措施,尽可能避免实际危害。当接到用户反馈有关钓鱼邮件的可疑线索后,尽可能在第一时间获取样本的基础上展开排查,评估危险程度,全面排查与样本内容、发件人、来源IP的相关邮件,确定受影响用户范围,采取服务器端删除、提醒用户、阻断陷阱URL等措施,将危害限制在最小范围。在用户社区、管理员群组等渠道,加强钓鱼邮件威胁情报的共享与沟通,建立对钓鱼邮件群防群治的合作机制。
三、提高防范意识
在攻击与防范的持续较量下,钓鱼邮件的欺骗性、伪装度也越来越强,技术上始终无法做到完全阻断。用户的安全防范意识是应对钓鱼邮件的最后防线,也是最为重要的一环。高校可结合网络安全宣传周、网络培训教育培训等开展相关活动,提高用户对钓鱼邮件的防范意识与识别技能。
一是加强用户防范教育。提醒用户不轻信发件人地址的显示,很可能是伪装的地址,要注意查看真正地址;不轻易点开陌生邮件中的链接。正文中如果有链接地址,切忌直接打开,钓鱼邮件经常使用短链接或带链接的文字迷惑用户;不放松对“熟人”的警惕,攻击者常常利用攻陷的邮箱发送钓鱼邮件,如果对邮件内容表示怀疑,需果断核实。
二是适当开展实战演练。2021年北京大学就组织了一次有关“钓鱼邮件”的攻防演练,共有4万余名师生收到这封模拟“钓鱼邮件”,结果是54%的师生阅读了邮件,其中约5000名师生点击了可疑链接,约2000名师生在后续登录页面输入了用户名和密码。从后继的反馈看取得良好的警示效果,绝大部分师生对演练给予肯定和支持。
希望在多方的协同联动下,减少钓鱼邮件的“漏网之鱼”,堵上钓鱼邮件的“可乘之机”,高校师生能放心使用更加可靠、安全的电子邮件服务。
版权声明:本文为武汉大学信息中心夏正伟先生的原创文章,文章首发于Coremail云服务中心管理员社区。转载请附上原文出处链接及本声明。