CAC安全中心威胁情报——一种新型钓鱼邮件威胁与应对策略

1、 钓鱼邮件威胁情报

2018年9月7日，Coremail CAC安全中心发现有一种新型的钓鱼邮件正在呈现扩散趋势，由于该钓鱼邮件的伪装程度较高，部分用户容易轻信误点击钓鱼链接。此类邮件通常会伪装成企业内部的用户，向其他内部用户发送钓鱼邮件。链接通常是一个绿色的按钮，误点击链接的用户会被窃取历史收发邮件的主题信息，进一步向企业内部其他人发送钓鱼邮件。利用历史收发邮件的主题信息，进一步迷惑其他用户，造成钓鱼邮件进一步扩散。

该钓鱼邮件中的链接会将用户引导至恶意网页。恶意网页可能会有多种情况，但在每种情况下都是恶意的：

情况1：恶意页面会提示用户目前系统存在危险，需要点击下载安全防御工具，该工具实际上是一个木马程序，下载安装后会窃取用户信息。

情况2：恶意页面会提示一个类似中奖的页面，通过点击“OK”的按钮迷惑用户，让用户在不知情在情况下点击该按钮，然后下载木马程序，窃取用户信息。

情况3：恶意页面会伪装成可信页面在样子，提示用户输入自己的账号，窃取用户登录信息。

2、 CAC安全中心采取的应对措施

由于此类钓鱼邮件伪装多变，Coremail CAC安全中心在此类钓鱼邮件传播的每个环节都采取针对性的应对措施。同时，请各位邮箱管理员及时通知域内用户，提前预防风险，避免误点击钓鱼链接。

Ÿ 钓鱼 邮件发 信 源头： 截至2018年9月11日，CAC安全中心已抓取了十多万条对应的恶意链接，并将其加入到黑名单库，为客户拦截了大部分的钓鱼邮件。在系统侧屏蔽可疑IP，增加IP黑名单，CAC安全中心抓到一些可疑IP，如有需要，请与CAC安全中心联系。

Ÿ 钓鱼 邮件传 递过程 ： 针对钓鱼邮件的内容特征，CAC安全中心在运营平台已经添加相应的关键字规则进行拦截。通知邮箱管理员创建关键字规则(勾选使用正则表达式)：

1) 匹配条件 — 正文：(?i).*(cannot|unable to) (show|display) this (message|email).*

2) 操作：丢弃(或拒绝投递)

Ÿ 钓鱼 邮件 进入 用户邮箱： 针对已经受到钓鱼邮件严重影响的重点客户，提供深度过滤工具，协助客户进行二次过滤，防止钓鱼邮件进入收件箱。

Ÿ 用户 误点击钓鱼邮件： 用户如果误点击了相关链接，请对本机系统进行杀毒扫描，同时更换该邮箱账号的密码，并密切关注是否有异常IP登陆该邮箱账号。

3、 客户可采取的防范及应对措施

Ÿ 邮箱管理员

1) 在系统侧屏蔽可疑IP，增加IP黑名单，CAC安全中心抓到一些可疑IP，如有需要，请与CAC安全中心联系。

2) 创建关键字规则(勾选使用正则表达式)：

(1)匹配条件 — 正文：(?i).*(cannot|unable to) (show|display) this (message|email).*

(2)操作：丢弃(或拒绝投递)

Ÿ 普通邮箱用户

1) 普通邮箱用户日常使用邮箱时请注意此类邮件，如果发现类似或者可疑的邮件，不要轻易点击链接，并及时通知管理员。

2) 用户如果误点击了相关链接，请给自己的机器进行杀毒，同时更换自己的邮箱密码，并密切关注是否有异常IP登陆自己的邮箱。

更多问题，请联系Coremail等专业厂商提供进一步技术支持。

声明

版权声明

本文档版权归论客科技(广州)有限公司所有，并保留一切权利。未经书面许可，任何公司和个人不得将此文档中的任何部分公开、转载或以其他方式散发给第三方。否则，必将追究其法律责任。

免责声明

本文档仅提供阶段性信息，所含内容可根据产品的实际情况在公司网站随时更新，恕不另行通知。如因文档使用不当造成的直接或间接损失，本公司不承担任何责任。

文档更新

本文档由论客科技(广州)有限公司于2018年9月最后修订。