个人的邮箱泄露虽然有点惨烈,但却不是邮箱泄露的主要重点。在所有的邮件攻击中,其实针对名人的只占2%的比例,而排名前三的分别为:大中企业 35%、高等教育机构30%、政府机构22%。
这么说来,企业和政府机构才是黑客们的主要“猎物”。
这并不难理解,因为政治和经济往往对这个世界的影响更大,而黑客们往往也想“干一票大的”。
希拉里竞选团队过程中出现邮箱被黑过程
2016年,黑客真的干过一票大的,这其中黑掉了民主党竞选总部邮箱。这件事情对世界造成的改变已经不能用金钱来衡量了,有大批外泄的竞选邮件显示,希拉里表面上温顺和善,背地里正准备给竞争对手按个放血。
那么,究竟希拉里的邮件是怎样被泄露的呢?
说来非常简单,黑客伪装成Google的官方客服,给竞选团队成员威廉·莱因哈特(William Rinehart)发了一封钓鱼邮件。邮件内容也很简单:有人已经破解了你的邮箱密码,请尽快登录修改。
就这样,黑客不费吹灰之力就拿到了团队核心成员的邮箱密码,进而利用这个邮箱在邮件系统内部扩大攻击,最终完全控制了邮件服务器。问题在于,这些人缺乏基础的邮箱安全意识,而在钓鱼邮件方面,黑客们可是用尽了自己的智慧。
如果黑客的仅仅停留在邮件系统,不那么容易引起直接的资金损失,但黑客绝不会老老实实呆在原地。
在调查结果显示,我国的企业在使用的企业邮箱服务正在剧烈增长。2009年使用外包企业邮箱的用户只有1275万家,2017年,这个数字是1.35亿,现如今已是5.8亿恐怖的数字。
一个大型国企的财务人员收到经理的邮件,示意他应该给A公司结款,财务人员经过审核发现,确实到了结款的时间,就通过财务系统把钱转给了“A 公司”。然而,过了几个月,真正的A公司找到这家企业,要求结款。这时公司才发现,原来之前的几百万根本没有汇进A公司的账户,而是进了黑客的腰包。
这里有一些难以理解的问题:企业资源系统(ERP)和办公系统(OA)是相互独立的,企业资源系统不和互联网连接,而办公系统和互联网连接。如此推断,黑客应该无法接触到财务系统。经过调查,故事的秘密在于:黑客利用钓鱼邮件攻击了总经理的办公系统,而总经理用于登录办公系统和企业资源系统的密码是相同的,于是黑客顺利跳入了财务系统,不仅伪造总经理向财务发指示,还在财务系统里直接更改了收款企业的账号。
由此可见,虽然邮箱本身泄露也许并不能造成经济损失,但是鉴于邮箱系统和其他系统千丝万缕的联系,黑客几乎总能找到一种方法渗透到你的核心网络,取你的身家性命。如果这家中国企业被骗了几百万,看客们还觉得不够刺激,那么请看下面这个故事。
FACC被黑客转走5000万欧元,导致CEO引咎辞职,企业才是邮箱泄露的重灾区
2016年初,专为波音公司生产零部件的航天零部件公司FACC遭到了黑客攻击。黑客的突破口恰恰也是公司内部的办公邮件系统。他们先是利用钓鱼邮件搞定了公司重要人员的企业邮箱,然后入侵了财务会计系统,接下来毫不犹豫地从账面上转走了5000万欧元。五千万欧元,体会一下这个数字有多大
仅仅因为高管手抖,点了一封钓鱼邮件,就让公司的股价当天直接跳水 17%,不用说,公司的首席执行官和首席财务官都因为这件事而引咎辞职。
另外值得一提的是,FACC 这个公司并不像听起来那样离我们很遥远,虽然它地处奥地利,但是它的股份被中航工业收购。实际上,它算是一家中国公司。理论上来说,黑客能够把钱转走,意味着他们已经对公司的系统实现了全面的控制,他们同样可以看到机密的图纸、商业计划。
这些隐性损失是没有办法计量的,相比之下,个人邮箱泄露导致的电信诈骗损失金额,都算是九牛一毛了。这也是为什么黑客喜欢对企业用户下手的原因。
员工弱密码导致大部分泄露都源于“作死”
一个中国企业的网络管理员曾经做过测试,向内网中30000名员工发送邮件,内容非常简单:我是管理员,我需要你的账号和密码。结果,有600多名员工不问青红皂白就直接把密码发来,这其中包括副总裁,秘书,高级总监。可想而知,如果这个邮件是黑客发的钓鱼邮件,企业将会沦陷。
某金融企业邮箱对外发送垃圾邮件——被寄生可能无感觉
事实上,鉴于企业邮件安全漏洞百出,很多企业邮箱已经被黑客“常驻”,但所有的人都不知情。某国内知名的金融企业,2015年4月的一个晚上突然有200多个企业邮箱在异地登录,向外发送了大量的赌博和发票的垃圾邮件。虽然经过紧急处置,但还是有170封被成功发出了。这对于金融企业的声誉来说,简直是巨大的打击。然而,就在这件事情平息四天后,黑客故伎重演,又对外发送了一百多封赌博广告邮件。经过溯源,安全研究员发现,其实黑客早在半年前就通过木马和钓鱼邮件控制了企业邮箱系统。经过长期的盘踞“经营”,黑客已经安插了很多方便自己出入的后门。这个黑客组织不仅仅针对一家企业,而是对众多国有企业进行钓鱼攻击。最终发现至少29家企事业单位的邮件服务系统被攻陷,涉及帐号数千个。
根据专家的介绍,类似于希拉里邮件门的事件,在中国也曾经发生过:某重要部委的邮箱系统长期被美国方向的黑客控制,幸好最终被安全人员发现,否则将会造成更大的损失。
这些泄露事件说明一个让人绝望的事实,那就是即使作为个人很好地保护了自己的密码,也难免被服务商这样的被动泄露的可能。
我们怎么办?
事实上,说到邮件防护水平,全球都很差,但中国尤其差。
根据360互联网安全中心的预测,2017年中国邮箱安全事件会大规模爆发,以下是预测数据:
邮箱盗号,影响企业600万+,50%的企业都会遭遇邮箱盗号攻击
机密信息窃取,影响企业10万+,多数情况下企业是不知情的
利用邮箱盗号进行的商业欺诈,经济损失 50亿RMB+
利用邮箱传播敲诈者病毒造成的经济损失 2亿RMB+
看来,邮箱泄露有一万种姿势,难道我们束手无策吗?
有一种办法在企业邮箱里进行推广双因子认证,是目前来看效果最好的办法。
所谓双因子认证,简单来说就是除了密码之外,再加入额外的一个认证因素。这个认证因素可以是手机短信,也可以是App上的动态密码口令。
这种情况下, 即使密码发生了泄露,黑客也无法轻易地登录受害者邮箱。
