0x00 背景

在網路安全運維報告、應急響應報告中，我們經常看到"分析研判"這一詞，我在最近一段時間的現場值守服務過程中，針對郵箱洩露這一問題進行了深入的分析研判。

郵件攻擊依然是黑客首選，特別是郵件釣魚攻擊。那麼我們經常成為攻擊物件，收到垃圾郵件和釣魚郵件的原因是什麼呢？其中一個明顯的原因肯定是你的郵箱地址已被攻擊方或垃圾郵件傳送方收集。接下來我們針對這一問題進行分析研判，並採用滲透工具集來確定哪些郵箱容易被攻擊，同時確定容易被攻擊的郵箱從哪裡來。

0x01哪些郵箱容易被攻擊？

郵件攻擊其目的是欺騙受害人來進行一些操作，最終控制受害人，最常見的方式是憑證釣魚，木馬傳播，因為內容多變，防範難度也高。攻擊者只需要通過簡單的欺騙手段便能夠成功誘惑受害者開啟附件、點選連結或洩露憑據，無需任何漏洞就可以完成。

在滲透測試過程中，資訊收集會收集大量的資源，其中就包括郵箱，但是滲透報告一般沒有體現這一塊，導致風險分析不足。這裡我們可以採用GoLismero、Dmitry、MSF、 Theharvester等具有收集Email資訊的功能的工具進行自行測試效果。來，接下來跟我一起通過簡單的步驟進行分析，你就會發現這些郵箱確實容易成為被攻擊的物件。

使用Theharvester（kali 系統自帶工具）命令，輸出簡單的郵箱字尾域名，即可獲取已洩露於網際網路的郵箱地址（當然這些郵箱地址就是容易受到攻擊的郵箱地址）。如下圖所示：

那麼郵箱洩露的途徑有哪些呢？郵箱地址公開發布在相關資訊中這是一種，針對這一種可以採用圖片的方式或用#替代@的方式釋出郵箱地址。還有哪些途徑呢？接著我們測試另一個域名，如下圖所示：

我們手工在google中查詢這些郵箱，希望確定這些郵箱的來源。我選其中一個在網際網路上找了一下，出現在百度文庫中，如下圖所示：

文中password、url 、賬戶沒有脫敏或打碼，直接導致敏感資訊洩露。那麼敏感資訊為什麼會被上傳到網際網路並直接暴露在網際網路上，這是另一個值得思考的資料洩露的問題。

0X02來個釣魚例項演示

郵箱地址收集到了，接下就是攻擊了。我們來個釣魚例項演示，關於準備釣魚網頁本文暫不進行介紹。

下面這些圖是被攻擊者收到的郵件，不難看出，是攻擊者發給webmaster的，大概意思是"你有一些檔案需要收取，請點選下面連結進行獲取你的檔案"點開連結之後，跳轉到一個網頁讓你輸入password。一旦你輸入密碼點選登入，攻擊者便獲取了你的郵箱密碼，攻擊者直接通過外網開放的公司郵件系統登入你的賬戶，收集更多的資訊再進行下一步攻擊。

釣魚演示一：

釣魚演示二：

通過二個簡單的例子，我們都看到你的郵箱地址資訊被洩露後，極易被實施進一步的攻擊，如果安全意識不強則將極易被攻擊成功。

0X03如何防範釣魚垃圾郵件

有有人也許會說，企業有反垃圾郵件系統就高枕無憂了，事實證明並不是，下面這個是8-9月某企業郵件情況，可以看出郵件數量走勢，其中垃圾郵件佔比80%。

下面這張圖是周郵件情況，顯示了接收量和垃圾郵件量，以及未被攔截的郵件量。

釣魚郵件之所以難以防範，是因為有一些郵件是正常的，並不是偽造的發信人或者內容垃圾，而釣魚郵件往往就存在於這些未被攔截的郵件範圍內。這些正是需要人工去審查的，這就是安全運維及安全分析師的價值所在。

0X04 總結

    本文就哪些郵箱容易被攻擊和容易被攻擊的郵箱從哪裡來這兩個問題展開分析與驗證。由洩露的郵箱引起的安全風險，解決辦法並不是上傳統的安全裝置再或者滲透測試就能解決，還需整體提升安全意識，並不斷完善企業的資訊保安防護體系。

我們認為需要有反垃圾郵件系統，需要開展資料分類分級諮詢服務，然後根據資料分類分級進行敏感資料監測（像上文中敏感資訊洩露到百度文庫，就可以在上傳過程中被攔截掉）、敏感資訊加密與防洩漏措施。

微信公眾號：賽博朔方