一次黑客利用钓鱼邮件成功攻破用户密码的事件

事件概述

2024年5月23日，公司多个用户密码被盗，触发了多次系统告警。幸好在最后的护栏如多次验证等设置下，成功拦下了系统入侵。也是停用了多个用户账号，重置密码，忙活半天，惊了一身汗水。

事件分析

这是一起典型的钓鱼邮件攻击，黑客利用用户对客户或供应商的信任，伪造了一封看起来合法的邮件，诱导用户点击链接，从而获取用户的敏感信息。

攻击过程：

1. 从已经被突破的正常的商业邮箱对所有的供应商或客户群发，内容与正常的企业活动高度相关。因为邮件来自日常的供应商，收件人警惕性大为降低。

2. 邮件中的链接使用微软的OneDrive的链接，躲过邮件服务器中基于链接的扫描。因为OneDrive与SharePoint是常用的企业交换文件的方法，所以基于链接的扫描基本都会放过这种链接。这个文件显示需要点击另一个链接查看文件。

3. 在下一个链接中，伪装出微软的登录界面，与用户平时见到的页面观感一致。警惕的用户如果看一下地址栏，会发现此时不是在微软的网站地址里。但是要用户甄别微软的登录地址，的确有点强人所难，就是你凉不丁问我，也回答不出登录时微软登录时用到的地址。
   在这个地址上，如果用户输入用户名与密码，黑客就成功地取得的登录你的系统的第一把钥匙。

4. 在黑客获得密码非常短的几分时间里，他们尝试用多个不同的IP地址登录，企图登录系统，取得信息。如果你的系统仅使用用户名与密码登录，此时就玩完。管理员不可能在此时做任何事情。

5. 管理员那边收到的警告是这样的。问题是管理员每天收到大量类似的告警，要一一甄别就要花费大量的时间。基本上管理员在对黑客攻击处于弱势地位，就如同每天面对一堆蚊子，但是其中一个蚊子带有致命的病菌。

事件预防

为了防止自己成为钓鱼邮件的受害者，用户应该注意以下几点：

• 不要轻信邮件中的紧急或威胁的信息，不要随意点击邮件中的链接，不要在不确定的网站上输入自己的敏感信息。
• 检查邮件的发件人和链接的地址，是否与正规的机构或网站一致，是否有拼写错误或多余的字符。

对于企业来说，用户多了，总是有人会被类似的钓鱼钓到

• 使用企业级的服务，支持最新的防护机制（看到很多小公司甚至还在使用ISP提供的免费邮箱，连多重验证都没有）
• 启用多重验证与条件访问等最佳安全措施（咨询聘请有经验的管理员）