第一章 收到郵件

我叫張三，萬萬沒想到，我終于要漲工資了。

這天晚上7點(diǎn)，忙碌了一天的我正準(zhǔn)備下班，突然聽到公司郵件的響聲，“噔噔”，正抵觸的不愿意打開，郵件主題赫然出現(xiàn)的幾個(gè)大字“關(guān)于張三的漲資通知”映入眼簾。“難道我默默為公司做的一切，就這樣...被發(fā)現(xiàn)了？”看到收件人是 HR 系統(tǒng)的名字，我老淚縱橫地打開郵件。

郵件內(nèi)容截圖：

我懷著激動(dòng)的心情，點(diǎn)擊鏈接，輸入我的用戶名、密碼去 HR 系統(tǒng)查看——

“果然是本人沒錯(cuò)了！”

然后美滋滋的關(guān)閉頁面，下班！準(zhǔn)備漲薪！

隔了一天后，主管找到我，氣哄哄地說我給他發(fā)送了一封釣魚郵件，差點(diǎn)導(dǎo)致公司人員信息全部泄露！

聽完之后我一臉懵逼，簡(jiǎn)直不能相信，我問主管怎么發(fā)現(xiàn)的。

他說：幸虧有?360 沙箱云?，不然公司的資料就全部泄露了！

于是我?guī)е幸苫笳业?360 沙箱云 ，開啟我的解迷之旅。

第二章 360 沙箱云的解迷之旅

1.0 你的信息如何被泄露

這是一份虛假的郵件，在你點(diǎn)擊hr系統(tǒng)的鏈接時(shí)候，會(huì)跳入威脅者事先準(zhǔn)備好的和你hr系統(tǒng)一摸一樣的假網(wǎng)站，在這個(gè)網(wǎng)站輸入用戶名和密碼后，你的用戶名和密碼就泄露了，然后再用你的用戶名、密碼入侵系統(tǒng)，以你的口吻給你的主管發(fā)送了一封虛假郵件，當(dāng)你的主管點(diǎn)擊虛假郵件的鏈接后，會(huì)以相同的套路獲取他的用戶名、密碼，然后入侵更核心的數(shù)據(jù)庫獲取更核心的數(shù)據(jù)。

2.0 虛假的郵件如何進(jìn)來的

這封虛假的郵件，偽造郵件中發(fā)件人的信息（或已擁有你司部分人員的真實(shí)信息）使其躲過了公司傳統(tǒng)郵件安全網(wǎng)關(guān)的身份驗(yàn)證（SPF、DKIM、DMARC），由于郵件正文中并不涉及郵件過濾策略中的靜態(tài)特征和關(guān)鍵字，郵件使用的釣魚鏈接并不在已有的黑白名單庫中使其順利的通過了郵件內(nèi)容審查，然后這封釣魚郵件就順利的到達(dá)了你的收件箱里。

3.0 除了鏈接還有哪些地方是陷阱

釣魚郵件通常有兩處地方是陷阱，第一處就是郵件中的 URL、域名，你已經(jīng)為我們以身試法了，另外一處就是附件，附件會(huì)攜帶病毒、木馬程序，一旦下載并在本機(jī)雙擊打開后就有可能會(huì)長(zhǎng)期潛伏在你的電腦里面，實(shí)時(shí)監(jiān)控你的操作和數(shù)據(jù)，連接網(wǎng)絡(luò)，將你的數(shù)據(jù)傳輸給威脅組織，或者在你的電腦上運(yùn)行一些非法程序，造成你的數(shù)據(jù)或者財(cái)產(chǎn)損失。

4.0 360 沙箱云如何保護(hù)你

360 沙箱云的“云郵件網(wǎng)關(guān)”有著強(qiáng)大的分析判定和溯源能力，可以實(shí)時(shí)監(jiān)控你的郵件安全。

4.1 郵件內(nèi)容的提取和分析判定

360沙箱云支持對(duì)郵件里面的文本、URL、圖片、壓縮文件進(jìn)行提取，進(jìn)行靜態(tài)和動(dòng)態(tài)的分析。

(1) 靜態(tài)分析

精確識(shí)別文件類型，包括普通文件和需要解密的壓縮文件，結(jié)合郵件正文及時(shí)預(yù)見文件類型欺詐，將檢測(cè)利劍指向威脅核心。

（2）行為分析

準(zhǔn)確記錄文件打開后產(chǎn)生的行為關(guān)系圖及行為詳細(xì)信息，包括文件、注冊(cè)表、進(jìn)程、模塊、系統(tǒng)、網(wǎng)絡(luò)、同步、界面、文檔等，通過各種維度分析給行為進(jìn)行打分，并通過顏色標(biāo)識(shí)威脅等級(jí)。

（3）網(wǎng)絡(luò)分析

依托豐富的流量規(guī)則庫對(duì)樣本產(chǎn)生的網(wǎng)絡(luò)流量進(jìn)行威脅檢測(cè)，支持流量檢測(cè)、文件還原功能， 通過流量檢測(cè)可以進(jìn)行風(fēng)險(xiǎn)預(yù)估，文件還原則可以快速將流量中的可識(shí)別文件轉(zhuǎn)儲(chǔ)到本地后執(zhí)行多引擎掃描，結(jié)合威脅情報(bào)快捷查詢，進(jìn)一步提升檢測(cè)可靠性。

（4）釋放文件

準(zhǔn)確記錄文件打開后釋放的文件，并對(duì)釋放文件進(jìn)行靜態(tài)分析與多引擎掃描判定。使用 360 安全情報(bào)中心實(shí)時(shí)關(guān)聯(lián)郵件附件的威脅情報(bào)，及時(shí)判斷文件信譽(yù)。

（5）釋放內(nèi)存

對(duì)樣本運(yùn)行過程中的內(nèi)存釋放進(jìn)行轉(zhuǎn)儲(chǔ)，真正地深入進(jìn)程進(jìn)行威脅檢測(cè)，讓威脅無所遁形。

4.2 威脅組織的追蹤溯源

（1）威脅指標(biāo)

對(duì)樣本自身及樣本運(yùn)行過程中產(chǎn)生的衍生物情報(bào)指標(biāo)進(jìn)行威脅判定，深度分析樣本威脅程度。依托 360 威脅情報(bào)中心的支持，對(duì)攻擊者來源和身份背景分析，實(shí)現(xiàn)攻擊溯源。積累樣本資源，通過信息自動(dòng)化反饋機(jī)制，不斷提高系統(tǒng)威脅感知能力。

（2）關(guān)聯(lián)分析

依托 360 沙箱云威脅知識(shí)圖譜，對(duì)樣本及樣本運(yùn)行過程中產(chǎn)生的情報(bào)指標(biāo)進(jìn)行任務(wù)關(guān)聯(lián)分析，拓寬威脅視野。

4.3 360沙箱云總結(jié)

（１）360沙箱云能夠幫助用戶更早的看見威脅，并及時(shí)告警防御，將威脅遏制住搖籃中，避免用戶經(jīng)濟(jì)財(cái)產(chǎn)損失。

（２）360沙箱云能夠發(fā)現(xiàn)威脅后進(jìn)行全面的對(duì)威脅進(jìn)行分析，包括靜態(tài)分析、行為分析、網(wǎng)絡(luò)分析、釋放文件分析、釋放內(nèi)存分析，通過多維度比對(duì)，告知用戶威脅程度，讓用戶最大程度了解威脅。

（３）360沙箱云聯(lián)合威脅情報(bào)，對(duì)威脅者進(jìn)行威脅溯源分析，判斷家族團(tuán)伙信息、攻擊影響、技戰(zhàn)術(shù)特點(diǎn)、傳播方式等，快速制定風(fēng)險(xiǎn)消除和事件響應(yīng)策略。

第三章 如何避免被釣魚？

一、企業(yè)加強(qiáng)電子郵件系統(tǒng)網(wǎng)絡(luò)邊界和出入口安全監(jiān)測(cè)，對(duì)用戶異地登錄、大批量下載轉(zhuǎn)發(fā)郵件等行為設(shè)置雙因子認(rèn)證，做好網(wǎng)絡(luò)通聯(lián)和用戶行為日志留存。

二、企業(yè)啟用自帶或?qū)Ｓ玫碾娮余]件服務(wù)器安全防護(hù)策略，及時(shí)更新惡意郵件地址庫，開啟實(shí)時(shí)過濾、攔截釣魚郵件功能。

三、公眾用戶注意甄別電子郵件發(fā)件人地址或者域名是否為仿冒，對(duì)于無法確定來源、疑似仿冒、索要賬號(hào)口令等可疑郵件，不輕易點(diǎn)擊電子郵件中的附件、鏈接。

四、公眾用戶設(shè)置包含大小寫字母、數(shù)字或特殊字符的電子郵箱登陸口令并定期更新，正確配置和使用電子郵箱敏感操作二次認(rèn)證、異地異常登錄報(bào)警等安全防護(hù)功能。

五、公眾用戶安裝并及時(shí)更新計(jì)算機(jī)、手機(jī)等終端殺毒軟件，定期進(jìn)行全盤查殺。

第三章摘自：中國(guó)通信企業(yè)協(xié)會(huì) 《關(guān)于防范釣魚郵件攻擊的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)提示》發(fā)布時(shí)間：2023-01-13