别把“邮件安全”不当回事儿

2022-07-08

作者：GDCA数安时代

在企业发展运营中，邮箱密码泄漏或邮件服务器遭到侵入，邮件信息将会被利用进行恶意攻击、数据窃取倒卖、欺诈等现象尤其严重。

企业用户邮箱账户密码被盗后，通常被用于发送垃圾邮件，或向企业内部发送欺诈邮件，以盗取更多的邮箱账户，或被用于更加高级的商业欺诈，如诱骗财务人员汇款，给合作伙伴或客户发送虚假信息等。更恶劣的是侵入邮件系统，利用系统漏洞用于企业内网攻击，黑客利用被盗邮箱所持有的企业内网访问权限，对企业内部实施攻击，窃取大量企业重要数据。

国内有安全团队，针对某些企业的邮件系统的异常情况进行调查，结果发现攻击者至少先后盗取和控制了29家企业的数千个企业邮箱。被这个攻击者控制的企业邮箱中，有9家属于制造业企业，7家属于互联网公司，另有通信企业3家，事业单位和金融证券类企业各2家。

邮件系统被攻击，邮箱密码泄露，内部员工疏忽大意或有意，都会将企业的机密数据泄露，造成企业巨额损失。

案例一

2014年1月24日，王华向某供应商发送邮件时，王华因操作失误将维美德公司的所有产品报价单及客户资料泄露给了供应商。维美德公司认为，王华曾系维美德公司标准件采购部主管，掌管维美德公司的报价清单及全部客户资料等商业秘密，王华应对维美德公司承担保密义务。王华多次将维美德公司的价格清单及全部客户资料通过电子邮件发送至外部邮箱，泄露了公司的商业秘密。维美德公司将王华告到了西安中院，要求王华赔偿公司损失50万元。

案例二

2022年9月26日，全球四大会计公司之一德勤被黑，大量客户邮件遭泄露。

Deloitte(德勤)公司认为这个身份不明的攻击者，也许早在2022年10月或11月份就已经入侵了他们的电子邮件系统。这名攻击者通过使用一个管理员账号成功获取到了Deloitte(德勤)公司电子邮件服务器的访问权，且该系统并没有部署任何的双因素身份认证机制(2FA)，从而导致攻击者能够不受任何限制地访问Deloitte(德勤)的微软邮箱。致使Deloitte(德勤)24.4万员工与客户之间的往来邮件都处于危险之中。在此期间，德勤内部邮件中交流的安全政策，审计日志以及各种法务和财务信息，都处于黑客监控之下。

由此可见，企业邮件存在着诸多安全隐患，造成的损失将可能是无法弥补的，因此其安全防护必须受到足够重视，企业又该防范的呢?

1. 随时更新操作系统在开发操作系统时，大多数组织的重点是开发高级安全功能，以保护用户信息。谷歌，微软和苹果等顶级操作系统公司在软件工程师的帮助下，保持了以前版本的安全级别。更新版本确保保护用户的数据，并通过利用技术防止网络犯罪分子窃取数据。因此，请确保企业的PC“正确修复和更新”以确保企业的数据安全。定期刷新企业的项目将帮助企业填补任何安全漏洞，从而按时解决潜在问题。

2. 加强员工培训让所有新员工接受数据安全方面的培训，并要求所有员工在每年年初参加进修课程，以确保最新的安全准则能够让他们牢记于心。尽管这类培训可能很乏味，但却是必不可少的，而且只需很短时间即可涵盖基本细节。例如，员工应当：要将所有设备(例如台式机、笔记本电脑、平板电脑、电话)视为能够借此侵入组织系统的跳板;切勿写下或留下密码记录，以防被别人寻获;对来自未经验证的人的电子邮件或电话进行安全验证，要求输入密码或其他认证信息等等。还应包括建立一些最新的违规统计信息，以帮助员工理解威胁的严重程度和普遍性，以及可能对组织带来的严重后果。

3. 模拟网络钓鱼攻击许多安全问题是由人为错误导致的，例如员工无意间单击恶意电子邮件中的链接。鱼叉式网络钓鱼攻击(即针对特定目标的网络钓鱼攻击)导致员工中招的可能性更高，因为它们针对的是特定人员。这些消息可能引用了与某些部门或常规工作职能高度相关的信息，例如财务部门收到来自假冒某银行的关于组织财务方面的邮件，人力资源部门收到来自招聘网站的特定的人才招聘信息的邮件等等，更容易蒙蔽员工并诱导其点击这类的钓鱼邮件链接。

免费或付费的网络钓鱼模拟器可以让组织通过发送某些特定的电子邮件来测试员工对网络钓鱼电子邮件的辨别能力，当有人点击了这些消息时，组织将对其进行警告。通过使用这类模拟器，组织可以对员工进行积极的培训，以帮助他们提高对网络钓鱼攻击的应对能力。切记，要提醒员工如果遇到无法100%确保邮件绝对安全的情况下，都要慎之再慎。而如果员工遇到熟悉的发件人发来的邮件，看上去有些不正常时，那么就要及时通知组织的IT人员来进行检查。

4. 做好基础安全防护例如企业网站部署SSL安全证书，企业邮件部署邮件证书等等，做好最基础的安全防护工作，避免因小失大。相比于通信方身份和数据完整性无法验证的HTTP协议，HTTPS是一个基于HTTP的安全通信通道，它运用安全套接字层(SSL)进行信息交换，具有身份验证、信息加密和完整性校验的功能，可以保证传输数据的机密性和完整性，乃至服务器身份的真实性，进而有效避免HTTP被劫持的问题。

同样的，邮件证书对电子邮件进行数字签名并加密传输，一方面可以保证邮件发送者身份真实性，另一方面保障了邮件传输过程中不被他人阅读及篡改，并由邮件接收者进行验证，确保电子邮件内容的完整性。