Coremail邮件安全：钓鱼邮件里的发票链接，又双叒中招了?

Coremail邮件安全团队近期发现，利用发票主题的钓鱼邮件攻击有所增加，为更好地保障企业的邮件安全，Coremail自今年4月份起发起，恶意样本提交激励计划

以下是活动Coremail邮件安全在活动中收到的高危举报案例，以此分享作为提醒。

一、恶意钓鱼邮件样本分析

7月初，Coremail邮件安全团队接到某大型国有钢铁集团客户的举报，称遭到了钓鱼邮件攻击。

此次举报正是某大型国有钢铁集团客户通过cac-team邮箱进行转发举报而来，十分具有参考价值。Coremail邮件安全团队经过专项排查后，目前此类钓鱼邮件设计精度相比以前的粗陋提升了很多，怀疑是针对性攻击，于是迅速排查帮助客户解决了该潜在风险事件。粗略来看，此封邮件是通知客户下载电子发票的通知性系统邮件，文本特征无异常，而X丰快递公司确实与该国有钢铁集团存在大量业务往来。

钓鱼邮件

某大型国有钢铁集团收到的钓鱼邮件但点击“下载电子发票”后，页面跳转到另外的网页上，Coremail邮件安全团队立刻判断出此为钓鱼网站，它具备以下4个高危特征。

链接跳转的钓鱼网站

1、页面风格设计仿冒X丰公司官网，点击蓝线圈出部分可跳转至该快递公司官网，辨识难度大。

2、电子邮件账号固定无法更改，且不具备“忘记密码功能”，不符合正常的账号登录页面。

3、点击橙线圈出的“运单跟踪”、“快速登录/注册”，页面无响应，不符合正常网页的常规功能。

4、网页地址虽然使用HTTPS协议，安全性较高，但是百度未收录，不符合正规官网特征，如下图所示：

未被百度识别收录

综上所述，可判断该网站为钓鱼网站，而该邮件为钓鱼邮件。

二、溯源回顾钓鱼攻击

经回溯分析，Coremail邮件安全发现攻击者最早在6月18日已发起了第一轮钓鱼邮件攻击。由于钓鱼特征明显，被CAC云安全中心的反垃圾检测识别为钓鱼邮件并拦截。

攻击者在第一次被拦截后，再次精心策划，通过伪造发信人，伪造了X丰快递公司的邮箱，并对邮件内容进行了“升级”，试图避开CAC识别检测，再次发送主题为电子发票下载的钓鱼邮件。

这一次，攻击者成功了，成功发送后，攻击者显得十分谨慎周密，8天时间内仅发送17封钓鱼邮件。

目前，CAC云安全中心已将相关情况告知该集团的管理员。

同时，我们也已将邮件的相关特征更新到云端特征库，后续我们会提升对此类邮件威胁的识别能力，加强对此类主题邮件的检测。

三、意见与建议

2021年1月-2021年7月期间，CAC云安全中心检测到的威胁邮件数量激增，而钓鱼邮件又因为其主题种类多，话术更新快，识别难度高等特点频频成为攻击者的首选攻击方式。

一旦成功诱导收件人将账号、口令等机密信息回复给指定的接受者或引导收件人连接到特制的网页，输入攻击者想要的机密信息，被攻击的个人或企业将受到极大的经济利益损失。

因此，Coremail安全团队再次提醒，如遇到钓鱼邮件，可参考以下建议。

1、对邮件进行事后删除，并提醒域内用户不要点击陌生邮件中的附件或链接。

2、仔细甄别邮件跳转的网站，不要轻易输入账号与密码。

3、如再次收到类似的钓鱼威胁邮件，可及时反馈至cac-team@coremail.cn

4、如需加强域内员工的安全意识，可Coremail反钓鱼演练提升员工邮件安全意识。