教育網內需防范高發(fā)郵件釣魚攻擊

2018-11-08 10:05:32鄭先偉

中國教育網絡 2018年10期

文/鄭先偉

近期通過郵件系統(tǒng)發(fā)送欺詐郵件騙取用戶賬戶名和密碼的釣魚攻擊數量在教育網內有增加趨勢。這些釣魚郵件的內容往往非常簡單，僅包含一句“當前信息無法顯示”和一個“點擊這里顯示全部內容”的按鈕。如果用戶點擊這個按鈕，就會轉跳到一個仿冒的郵箱登錄界面上要求用戶輸入用戶名和密碼來登錄郵箱，一旦用戶輸入賬號和密碼，相關信息就會自動被發(fā)送給遠端服務器上的攻擊程序，攻擊程序隨后會用被釣魚成功的用戶賬號登錄真的郵件系統(tǒng)，并以郵件回復的模式向郵箱里的聯系人發(fā)送包含上述釣魚內容的欺詐郵件，以達到進一步傳播的效果。由于大部分的釣魚郵件都是以回復原始郵件的形式發(fā)送的，因此對用戶的欺騙性很高，用戶往往認為是系統(tǒng)的原因導致信息顯示不全而去點擊了按鈕并輸入了賬號和密碼，導致類似的郵件在學校的郵件服務器里快速擴散。這類郵件釣魚攻擊并沒有直接利用系統(tǒng)或程序的漏洞，因此沒有補丁程序可打，需要學校加大宣傳力度提高用戶的安全意識來防范。

高招期間，與網站有關的安全事件數量呈增多趨勢。

近期沒有新增需要關注的木馬病毒。

近期新增嚴重漏洞評述∶

2018年8～9月安全投訴事件統(tǒng)計

1.微軟9月的例行安全公告修復了其多款產品存在的192個安全漏洞。受影響的產品包括Windows 10 v1803 and Server 2016（30個）、Windows 10 v1709（27個）、Windows 10 v1703（26個）、Windows 8.1 and Windows Server2012 R2（23個）、Windows Server 2012（20個）、Windows 7 and Windows Server 2008R2（19個）、Windows Server 2008（18個）、Internet Explorer（6 個）、Microsoft Edge（15 個）和Microsoft Office（8個）。其中Windows遠程代碼執(zhí)行漏洞（CVE-2018-8475）和Scripting Engine內存破壞漏洞（CVE-2018-8457）需要特別關注，這兩個漏洞可以引誘用戶訪問特定的文件來遠程執(zhí)行任意代碼。建議用戶盡快使用系統(tǒng)自帶的更新功能進行更新。

2.Adobe公司9月發(fā)布了一個安全公告（APSB18-34）用于披露和修補Adobe Acrobat/Reader軟件中存在的7個安全漏洞，其中1個屬于遠程代碼執(zhí)行漏洞，另外6個漏洞則可能導致敏感信息泄漏。攻擊者可以引誘用戶打開定制的PDF文檔，就可能以當前用戶的權限在系統(tǒng)上執(zhí)行任意命令。Adobe已經在最新版的Acrobat/Reader里修補了這些漏洞，用戶可以使用Acrobat/Reader軟件的自動更新功能進行更新，也可以在官方網站上下載最新版的軟件進行安裝。漏洞和版本更新的詳細信息請參見：https∶//helpx.adobe.com/security/products/acrobat/apsb18-34.html

3.BIND軟件是目前互聯網上使用最為廣泛的DNS服務軟件。BIND軟件為了對使用動態(tài)DNS（DDNS）更新區(qū)域中的記錄提供細粒度控制能力，提供了一個名為update-policy的功能。該功能可以配置各種規(guī)則來限制客戶端可以執(zhí)行的更新類型，具體取決于發(fā)送更新請求時使用的密鑰。不幸的是該功能在實現上存在安全繞過漏洞，遠程攻擊者可利用該漏洞執(zhí)行未授權的操作。ISC已經發(fā)布了新的BIND版本來修正該漏洞，建議DNS管理員盡快更新自己的BIND版本。

4.Cisco Umbrella是思科公司的安全云解決方案，多用于無線局域網的安全前端。Cisco Umbrella API 接口中存在授權問題漏洞，該漏洞源于接口的身份驗證配置不充分。攻擊者可利用該漏洞查看并修改多個組織的數據。目前思科已經針對該漏洞發(fā)布了補丁程序，建議使用了該安全網關的管理員盡快對相關服務進行升級。

安全提示

針對近期高發(fā)的郵件釣魚攻擊，學校的郵件服務管理員應隨時關注相關攻擊的動態(tài)，并采取一定的措施來進行防范，包括：

1.整理釣魚郵件的特征（例如郵件中包含綠色的按鈕等），并向用戶發(fā)送提醒郵件，提醒用戶不要輕易上當。

2.如果技術力量允許，可以分析釣魚郵件的傳播機理，采取技術措施阻斷釣魚郵件的傳播。如：在校園網出口阻斷對仿冒郵件系統(tǒng)的IP連接。在郵件服務器上禁止自動程序的IP登陸郵箱發(fā)送釣魚郵件。

3.監(jiān)控郵件服務器上用戶的使用狀態(tài)，對于那些已經在轉發(fā)釣魚郵件的賬號進行臨時封禁，并提示用戶修改密碼。