【公司新闻】日常生活中的N不要之——邮件不要随便信!


2021-12-16



大家好,又见面了,我是上海世纪互联芬菊路的杨晓雷,是一名渗透安全爱好者。

 
这篇文件本来几个月前就酝酿好了,但是我这人一遇到点事就容易健忘,再加上芬菊路现场割接不断,所以一直熬到年末才算堪堪完成。写这篇文章的起因呢是因为今年属于安全元年(今年9月刚正式发布了《信息安全法》),而我正好在那会儿和朋友吃饭时,听他吐槽因公司HR的疏忽,而导致全公司电脑被勒索软件加密所启发的。一般员工真的很难保证不会同样因此陷入这样的陷阱,所以我就简单的写几个日常生活中我曾经设下的坑容易被人利用的那些所谓社会工程学的攻击吧。

另外强调下只谈危害!!!不教技术!不教技术!不教技术!(下期会着重介绍HR因为什么原因导致全公司中招——属于被社工的一套组合拳所KO)

正文

#日常生活中的N不要之——邮件不要随便信#
邮件是每个公司都有的东西之一,但是日常工作中总会碰到某某老总身在国外,无法当面沟通,只能通过邮件来协调工作,试问你如果是财务,收到老总的邮件让你给某某公司的法人转账你第一反应是什么?仔细看看,邮件的发件人是老总确认无疑,落款签名也是老总,这时候国外又属于大半夜的,你是立即远洋电话(视频、语音等)把老总吵醒呢还是乖乖转账呢?

 
作为最容易被社工攻击的第一课,邮件就是最常用的攻击手段,我在去年闲着无聊尝试着给网组的同事发了一堆钓鱼邮件用来哄骗他修改邮箱密码,某位同事立马就中招了。

 
该邮件是通过伪造的手段发送的,你们看到的真实发件人是公司的管理员邮箱admin@21viacloud.com,绝不是外面那种以替换大小写i或者L和1来达到诈骗目的的虚假邮箱,截图如下:

 
由于该手段具有非常大的迷惑性,从表面上看所有的邮箱都是从真正的邮箱地址上发来的,非专业人员很难判别,一骗一个准。

截止发稿前我又尝试了下,仿冒以周哥的邮件来诈骗我自己,发现很多邮箱的服务器(尤其是QQ!)依旧没有补上该漏洞。

 
当然啦,以我的聪明才智肯定是不会被骗的会上当的,毕竟周哥日理万机我怎么敢因为这点小事就去问他呢。(其实周哥我真的被骗了,麻烦帮我报销一下,谢谢!)

 
这封邮件还做的比较简陋(绝不是因为我懒),真实情况下犯罪分子肯定会根据以往的字体、语气、签名等,模仿的惟妙惟肖以后再进行社会工程学的组合式攻击(下期会说),大家可以试着问自己一下,如果你是财务部门的同学,当你收到老总的邮件你会怎么处理?

所以在日常工作中如有涉及到此类涉及转账的邮件,请一定一定一定(重要的事说三遍)要和对方确认过再处理。

时间不早了,一看已经近1500字了,今天就先说到这吧,剩下的下次大家催更的话再写。另外再告诫一下各位对渗透比较感兴趣的小伙伴们,渗透这门课从入门到入狱真的只有一步之差,如果想自学的话网上书挺多的,前年我记得也帮各自营机房及政府项目组采购过不少渗透方面的书籍,大家自己自学哈,不过这些技术千万不要用来干违法的事哟。

欢迎大家一键三连,如果投币达到10W的话我就加更。

不好意思,走错B站片场了。