2016中国企业邮箱安全白皮书-邮箱盗号.docx

2016中国企业邮箱安全白皮书邮箱盗号摘要根据艾瑞相关报告分析及预测：到2016年底，中国企业邮箱用户规模将达到1.12亿，并且仍将持续高速增长，至2017年底，将有望达到1.35亿。在企业办公应用中，电子邮件仍然发挥着不可替代的作用。服务器端口对外开放，发送邮件不受限制，安全管理水平低下，易于发动精准攻击等因素，是企业邮箱容易遭到黑客攻击的主要原因。垃圾邮件、邮箱盗号、钓鱼邮件和带毒邮件是企业邮箱遭到网络攻击最主要的四种形式。全国企业用户的邮箱系统平均每天接到的各类垃圾邮件的数量高达2000余万封，预计全年总量约为73亿封。这些垃圾邮件约占到企业用户收到邮件总量的69.8%。国内企业邮箱用户平均每天遭遇疑似盗号攻击事件约1.0万件，全年预计总量约为365万件。邮箱被盗后，会产生诸如密码被篡改，对外发送垃圾邮件，对内发送欺诈邮件等多种异常现象。用户使用弱密码，仍然是邮箱被盗号的首要原因。统计显示，企业邮箱帐号使用弱密码的比例高达16.0%，且占总量9.8%的邮箱账户使用的是10个最流行的企业邮箱密码。据此估算，攻击者仅需尝试10次，全国就有约1097.6万个企业邮箱可能被成功破解。对于企业用户来说，OA钓鱼邮件是最具危险性的钓鱼邮件。攻击者冒充系统管理员发送邮件，以邮箱升级、邮箱停用等理由诱骗企业用户登录钓鱼网站，并进而骗取企业员工的帐号、密码、姓名、职务等信息。138企业邮箱与360的联合监控平台每天仍能截获6000封左右的带毒邮件，最高峰时期可达单日数万封。在所有带毒邮件的木马附件中，PE文件（可执行文件）占3.8%，非PE文件占比为96.2%。在邮件携带的PE文件木马中，远控木马最多，占到了61.8%，其次是下载者，占14.5%；而在带毒邮件携带的非PE文件木马中，下载者占到了99.1%。关键词：企业邮箱、邮箱盗号、钓鱼邮件、安全邮箱、带毒邮件、138企业邮箱目录邮箱盗号1一、邮箱被盗号的主要现象1（一密码被篡改1（二）发送垃圾邮件及引发次生灾害1（三）内外邮件欺诈5（四）第三方帐号被盗7二、邮箱盗号原因分析8三、邮箱盗号典型案例10四、企业邮箱防盗号建议12（一）技术措施13（二）员工教育14（三）综合管理14邮箱盗号盗号攻击，是企业邮箱用户经常遭遇的一类网络攻击。根据138企业邮箱与360的联合监控分析显示，2016年1-10月，国内企业邮箱用户平均每天遭遇疑似盗号攻击事件约1.0万件，全年预计总量约为365万件。邮箱发生的很多种异常现象都与盗号有关。而黑客盗取企业用户邮箱帐号的方法其实有很多种，如果不能正确的应对盗号攻击，企业就会面临员工邮箱频繁被盗，修改密码后再次被盗的情况。邮箱被盗号的主要现象企业邮箱被盗号之后的外在表象有很多种。下面逐一进行介绍。密码被篡改密码被篡改，是最为明显的邮箱帐号被盗现象。不过，通常情况下，对于经常被使用的企业邮箱账户，攻击者一旦篡改密码，就会很快被原使用者发现，并且邮箱的原使用者一旦成功重置了密码，那么攻击者一般也就无法继续使用这个邮箱了。所以，绝大多数的邮箱攻击者通常不会轻易修改企业邮箱原有的密码。不过也有一些例外的情况。因为，如果企业用户将邮箱与某些支付账户、游戏账户或苹果设备等相绑定，那么攻击者一旦盗号成功，很有可能就会修改邮箱密码，目的是窃取与邮箱绑定的实际财富或虚拟财富。下面两张图就是我们接到的企业邮箱用户举报的，由于密码被篡改导致的邮箱无法正常登录的截图。左图是来自山东某高校的用户举报，右图是来自某电信运营商用户的举报。发送垃圾邮件及引发次生灾害当邮箱在用户不知情的情况下突然发出大量垃圾邮件，那么一定是该邮箱帐号被盗了。下图是某企业用户邮箱被盗后，大量对外发送代开发票垃圾邮件的用户界面截图。下面两图分别是某企业用户邮箱被盗后，大量对外发送色情服务垃圾邮件的用户界面截图。下图是我们近期截获的某公司用户邮箱被盗后，向外发出的推广赌博信息的垃圾邮件。企业邮箱被盗用发送垃圾邮件，不仅会危及其他邮箱的用户，同时，由垃圾邮件引发的“次生灾害”也会直接危及该企业自身的邮件服务。当用户遇到这些次生灾害时，一般也就意味着其邮箱账户被盗了。邮箱无故收到大量退信垃圾邮件一旦被其他邮件系统拦截或拒绝，该用户的邮箱就会突然收到大量的退信。下面两图分别是某个企业用户邮箱由于被盗后发送大量垃圾邮件而导致突然收到的大量退信的截图。被盗邮箱，乃至整个企业的所有邮箱都无法对外发送邮件一旦其他邮箱系统发现了某个邮件服务器在大规模的发送垃圾邮件，就会拉黑该邮件服务器的IP，使得由该服务器发出的该企业的所有邮件都被其他邮件系统拒绝，结果就是该公司所有员工都无法对外发送邮件。下面给出两个由于发送垃圾邮件，邮箱帐号被系统查封的相关提示信息截图。即便修改密码，邮箱仍然大量对外发送垃圾邮件造成这种情况的原因有很多种。其中