背景介紹
近些年來,越來越多的攻擊者利用社會工程學技巧僞造正常郵件内容,誘騙使用者點選郵件連結或下載下傳附件檔案,這種攻擊方式瞄準了企業安全防護中最薄弱的環節普通使用者和終端環境,結合社會工程學和終端安全漏洞進行有效攻擊,也為惡意代碼的大範圍感染和傳播提供了諸多便利。多家企業和機構曾對釣魚郵件攻擊展開過調查:Google 與加州大學伯克利分校的研究人員近期的一份調查研究報告顯示:網絡釣魚攻擊對使用者賬戶安全的威脅甚于資訊洩露:
- APWG(Anti-Phishing Working Group)曾在多次釣魚郵件趨勢報告中指出釣魚攻擊各個行業的威脅;
- 過去一段時間,有大量釣魚郵件用來傳播 Cerber、Locky 等勒索軟體;
- 在已經曝光的 APT 事件中,多數攻擊者都是将釣魚郵件作為滲透到目标内部網絡的入口,魚叉攻擊方式也成為 APT 組織常用方式之一。
是以,無論對個人使用者還是企業、組織來說,釣魚郵件攻擊都是最為嚴重的安全威脅之一。為了更好地保障企業網絡安全,及時發現并處置來自于釣魚郵件的威脅,除了使用郵件網關等安全産品之外,郵件管理者可基于現有的
Office 365郵件規則
添加外部電子郵件發件人警告消息。
通過郵件頭資訊擷取真實發件人域名,如不在組織内部,則在郵件頂部增加相關醒目提示,提醒收件人注意郵件内容。也可根據郵件标題或正文增加相關關鍵字比對,一旦觸發相關關鍵字則增加醒目的提示,本文做兩個樣式供參考、區分
效果圖
950·210
950·207
樣式代碼
樣式一
<table border=0 cellspacing=0 cellpadding=0 align="left" width="100%" margin="auto">
<tr>
<td style="background:#FFB900;padding:5.0pt 2.0pt 5.0pt 2.0pt">td>
<td width="100%" style="width:100.0%;background:#FFF8E5;padding:5.0pt 4.0pt 5.0pt 12.0pt"
cellpadding="7px 6px 7px 15px">
<div>
<p><b><span lang="EN-US" style="font-size:15px;
font-family:微軟雅黑,sans-serif;color:#222222">注意:span>b><span lang="EN-US"
style="font-size:13px;font-family:微軟雅黑,sans-serif;color:#222222">
span><span
style="font-size:13px;font-family:微軟雅黑,sans-serif;color:#222222">此郵件非ITPro内部郵箱發送,請不要輕易點選郵件中的連結或附件。<span
lang="EN-US"><br>
span>如不确定該郵件是否可信,可将此郵件作為附件發送至<span class="SpellE"><span
lang="EN-US">HelpDeskspan>span><span lang="EN-US">: <a
href="mailto:[email protected]">[email protected]>
<o:p>o:p>
span>span>p>
div>
td>
tr>
table>
<br />
樣式二
<table cellpadding="3" style="background-color:#E4E4E4;border:1px solid #FF0000;color:#FF0000;width:100%;margin:auto;">
<tr>
<td style="font-family: 微軟雅黑,san-serif;font-size:10;">
<p>注意:此郵件來自組織外部,不要輕易點選連結或打開附件。
除非您認識該郵件發送者,并且确認内容是安全的。<br>
CAUTION: This email originated from outside of the organization. Do not click links or open attachments
unless you recognize the sender, and know the content is safe.
p>
td>
tr>
table>
本文為 微風 原創文章.經實踐,測試,整理釋出.如需轉載請聯系作者獲得授權,并注明轉載位址.
部署
建立兩條郵件流規則
注意:這裡需要設定正文關鍵字規則的優先級高于發件人顯示名、域名關鍵詞的規則,并且在比對正文關鍵字這條規則後,停止後續顯示名關鍵字規則
規則一:正文關鍵字規則
950·438
950·493
正文關鍵詞正則式樣例
# 以下增加幾個常見的釣魚郵件正文關鍵詞,僅供參考:
(過期|重置|修改|更新|解鎖|解凍|重置).*密碼
密碼.*(過期|重置|修改|更新|解鎖|解凍|重置)
(reset|change|update).*password
Password.*(expire|reset)
You have received a secure message
Release Pending Message To Inbox
This message is password protected
規則二:發件人顯示名、發件位址關鍵字規則
# 外部發件人位址顯示名包含 ITPro|ITPr0|itpro 等仿冒ITPRO 域名的均作為辨別
^[a-zA-Z0-9._]+@([a-zA-Z09.]{0,})(itpro|itpr0|ltpro|ltpr0|1tpro|1tpr0)([a-zA-Z0-9.]{0,})(\.[a-zA-Z0-9]+){0,}$