邮件安全:从攻击者的角度来看待账号安全

 邮箱网  0条评论  2404次浏览  2022年12月16日 星期五 09:52

分享到: 更多
在邮件安全领域,我们都是防守者,日常所接触的账号安全事件处置、账号安全培训等与网络安全相关的活动,均是以防守者的角度来谈。虽说防守效果不错,但总是从同一个角度去多次阐述相同的话题,不免有些审美疲劳,所以这次我们跳脱出我们固定的防守者思维,以一个攻击者的身份去思考账号安全的问题,说不定能发现一些新的防守思路。

1 我为什么要攻击邮箱账号

邮箱账号是使用者在互联网上的身份标识,代表着使用者这个“人”,并且互联网是有记忆的,这个身份标识在网上做了好事或是坏事,均会被标记,“天网恢恢疏而不漏”这句话用在互联网种,再合适不过了。再者,在互联网上想要获取受害人的信任,除了高级的伪装手段之外,获取他关系网中某一环的账号,难度相对会低一些。所以我们从刚才说的分析中,可以得出攻击者攻击邮箱账号的理由:

(1)可以使用别人的身份标识干坏事,最终被追责的也是这个身份标识的所有者。

(2)可以更快更方便获取同个关系网中受害人的信任,方便下一步获取利益。

2 我会攻击哪些账号

账号攻击,首先得有个攻击目标,那么哪些账号会成为首要的攻击目标呢?一般攻击者会从多个维度去评估,但万变不离其宗,一般都脱离不了下面的几个要点:

(1)已知的账号。暴露在外部的账号,如很多应用的注册都要求填写邮箱账号作为用户名,但这些应用又是信息泄露的高发区。

(2)重要程度。一般根据域名去查询,是否属于商业域名,一般很少会有攻击者会特意攻击个人邮箱,道理很简单,攻击者也讲究成本与收益的比例。

(3)有规律的账号。首先拥有一个已知账号,根据域名查询知道这个域名是商业域名,再根据一般企业邮箱的规律,猜测高管的邮箱账号(一般为名字简单缩写,而高管的名字一般在企查查都能查到)。

3 选择攻击方式

    根据这个账号的具体情况,攻击者的攻击一般分为两种方式:
(1)撞库。这个账号曾经在某些网站的信息泄露事件中泄露过账号密码。


(3)暴力破解。暴力破解其实也有一定的技巧,并不是简单的字符组合,一般暴力破解的攻击者手中都有一本常用字典,这一类字典会根据受害人的信息自动更新变化,如姓名拼写、生日、手机号、伴侣的信息等。大多数人的密码看似包含了字母大小写、数字、特殊字符等强密码的特征,但其本质上还是个人信息的组合,所以被攻击者拆解的概率也不小。


4-1 开始攻击—暴力破解

一般邮箱系统都会有一个本地防爆破的UD策略,如30分钟内错7次就封禁登录IP 20分钟。但这种机械性的防守方式,攻击者能够很轻易地绕过,下面举例给出常用的两种绕过方式:

(1)长时间低频的暴力破解。在前期的几次尝试之后,攻击者基本能够了解UD灰名单的基本策略,那么攻击者可以写一个脚本,设置每过30分钟,就会自动破解6次,低于触发UD灰名单的阈值即可。缺点就是破解时间较长,被害者如果没有定期更换密码的习惯,破解几个月,迟早会被破解出来。

(2)频繁更换IP进行暴力破解。目前网上有很多廉价的IP资源,只需十几元,就能得到上万个可用IP,则足以说明攻击者频繁更换攻击IP所需要的成本并不高。


4-2 开始攻击—钓鱼邮件

刚才说到的暴力破解,是人(攻击者)与机器(受害者的UD灰名单策略)的斗争,现在要说的钓鱼邮件,稍微要复杂一些,是人(攻击者)与人(受害者)之间的博弈。这里的博弈涉及各个方面,包括搜集受害者的个人信息,了解他的邮件使用习惯,分析他的信任关系网等等,最终会采用常见的3种钓鱼邮件去欺骗受害者。

(1)携带链接的钓鱼邮件。这里的链接一般为高仿冒的钓鱼网站,用户输入的所有个人信息,都会同步到攻击者的管理后台。而且用户在点击登陆之后,会自动跳转到正常的的网站,安全意识薄弱的受害人难以察觉。

(2)携带附件的钓鱼邮件。这里携带的附件一般为伪装的病毒,考虑到一般的主机都会装杀毒软件,所以这是比较高级的攻击手段。用户下载附件并点击之后,攻击者就能远程获取用户主机中的各种信息。

(3)要求用户回复个人信息。为了绕过反垃圾中的链接检查和反病毒检查的特殊手段,没有链接,没有附件,要求用户回复个人信息,成功率取决于伪装的发信人是否在受害人的信任关系网中。


5 扩大攻击面

在使用上述的攻击手法,成功获取了几个防守力量相对薄弱的账号密码之后,攻击者一般会尝试登录(登录日志一般能查询到此处的异常IP登录),在获取该账号的基本信息后,以此为跳板,辐射与这个账号同个信任网络的其他账号(包括同域的同事和外域商业伙伴)。扩大攻击面的方式,根据获取账号性质的不同,具有不同的扩大手法:

(1)具有一定管理权限的账号。这里的危险级别定义为高危,攻击者可获取一定的操作权限,并可以利用权限请求一些部门为其获利。

(2)对外联系的账号。利用该账号与外域商业伙伴的信任关系,向其发送钓鱼邮件或BEC商务诈骗邮件。

(3)普通员工账号。普通权限的账号,可利用的角度比较窄小,一般是以此为跳板,尝试性地内发或外发垃圾邮件,看看能不能中奖。

6 攻击收获

作为攻击者,在成功获取了一批权限不一的账号密码之后,一般会根据攻击者本身的性质来决定下一步的动作:

(1)政治性质。此类性质主要集中在一些APT组织中,通过高威胁的持续攻击,获取部分权限后,并不会马上有所动作,潜伏至某一个特殊的时间节点爆发。该威胁在彻底爆发前一般难以察觉,威胁程度为高危。

(2)黑产或其他组织。前面提到攻击者是具有攻击成本的,所以大多数的攻击为上述的低成本且高效的攻击方式。在成功获取到一批权限不一的账号之后,以利益为主要目的的黑产或其他组织,都会马上作为跳板,企图获取真实的利益。此类的威胁中招后会马上爆发,受灾程度取决于被害者的安全意识与单位的反应速度,一旦出现一例,就是巨额的财产损失,威胁程度也为高危。

7 攻击总结

让我们来总结以下,作为攻击者,我们喜欢的受害人具有以下的性质:

(1)喜欢使用公司邮箱作为第三方应用的注册账号;

(2)喜欢使用包含个人信息规律的密码;

(3)反钓鱼意识较薄弱;

(4)使用邮件交流时没有验证对方身份的习惯。

我们讨厌的受害人具备的性质:

(1)难以选择攻击目标。没有在第三方应用暴露工作邮箱,邮箱名难以根据一般的规律进行猜测;

(2)难以使用暴力破解。登录密码使用与个人信息有一定差别的强密码,或使用多因子认证;

(3)难以使用普通钓鱼手段进行欺骗。反钓鱼意识较强,有较强的识别钓鱼邮件的手段与习惯。

文章来源:CACTER安全专家

标签:邮件安全

我的评论:

请  后发表评论。