七個郵箱泄漏「慘案」，揭示七個黑客真相

七個郵箱泄漏「慘案」，揭示七個黑客真相

來自專欄淺黑科技

導語：在中國，50%的企業都會遭受郵箱攻擊。而郵箱泄露，會引發一系列慘案。

你還在郵箱上使用初戀時就在用的密碼嗎？

你的郵箱密碼和其他平台的登錄密碼一樣嗎？

你有沒有毫不猶豫地點擊過郵件里的鏈接呢？

你的郵箱密碼是不是簡單到一年級小朋友的知識量就能猜透？

如果你對以上任何一個問題的答案是「Yes」，那麼你極有可能已經成為郵箱被泄露的一員了。如果你恰好是個名人，或者是企業的管理層，那麼郵箱泄露可能導致的結果會超乎你的想像。

最近，360 互聯網安全中心對外發布預警：郵箱泄露將會成為2017年最嚴重的威脅。

雖說郵箱幾乎和互聯網同時誕生，是互聯網上的老幹部了。但是有很多證據表明，這個老幹部遇到了新問題。黑客有一萬種方法黑掉一個郵箱。而以這個郵箱為入口，黑客可以掌握你的一切。

裴智勇博士是一位來自 360 的安全專家，他覺得一般的教訓很難讓人們重視郵箱安全，所以列舉了一系列因為郵箱泄露而引發的「慘案」。

每個慘案背後，都揭示了一個血淋淋的教訓。

貝克漢姆男神形象崩塌——郵箱里有你的所有「黑歷史」

貝克漢姆被稱為這個世界上高、富、帥集成度最高的人。這個公眾眼中勤奮刻苦熱衷慈善樂善好施的好丈夫好父親是為數不多的正能量範本。

不巧，他的郵箱密碼被黑客拿到了。英國人對郵箱的依賴程度很高，很多私人的談話都會通過郵件發送。

在給友人發的私人郵件里，貝克漢姆解放了自己：郵件里不僅有他的私生活記錄，還有他不經意間吐槽挖苦其他明星的文字。最要命的是，人們發現他熱衷於慈善的原因，居然是覬覦「爵士」的頭銜。

看看小貝都說了神馬吧：

• 得知自己和爵士頭銜擦肩而過時，小貝寫了一封很憤怒的郵件，表示不滿意這個結果，說提名他獲勳章的委員會老大是「毫無欣賞力的傻X （unappreciative c****）
• 在一封給他公關經理Simon Oliveira的郵件中抱怨道：「Katherine Jenkins拿OBE（官佐勳章）？憑啥？她只會在英式橄欖球比賽上唱唱歌，慰問一下軍隊，還吸毒嗑藥，這尼瑪就是個笑話！」
• 小貝甚至還對他平日里極力討好的委員會爆粗：「他們就是一群婊，我說的沒錯！這些榮譽到底誰說了算？這真尼瑪丟人，如果我是美國人，十年前我就拿到這個了！」
• 對於慈善基金，小貝在私人郵件里寫道：「把幾百萬投到慈善基金，就像把我自己的錢給出去一樣。如果沒有基金，那錢本該是我的。這尼瑪可是我自己的錢！」

• 郵箱泄露讓全世界認識了一個真的貝克漢姆。雖說貝克漢姆已報警，辯稱有人改動了他的郵件，但目測然並卵。

先不談黑客如何黑進他的郵箱，單單郵件泄露這一件事，就是貝克漢姆不能承受之重。因為，就連你自己都忘記說過了什麼，但是郵件卻幫你準確無誤地記錄著。人非聖賢，誰都會有搬不上檯面的算計。而這些黑材料永遠是埋在你身邊的定時炸彈。

這件事，是細思極恐的。你的聊天記錄其實就是你的「黑歷史」。試想如果你的微信記錄

被黑客公佈於天下，也許就連最好的朋友看到你背地裡如何議論他，都要和你絕交。

不過，根據裴智勇的調查，名人郵箱泄露雖然畫風慘烈，但卻不是郵箱泄露的重點。在所有的郵件攻擊中，針對名人的只佔2%的比例，而排名前三的分別為：大中企業 35%、高等教育機構30%、政府機構22%。

這麼說來，企業和政府機構才是黑客們的主要「獵物」。這並不難理解，因為政治和經濟往往對這個世界的影響更大，而黑客們往往也想「干一票大的」。

希拉里競選團隊郵箱被黑過程——再聰明的人也會上當

2016年，黑客們真的干過一票大的——黑掉了民主黨競選總部郵箱。這件事情對世界造成的改變已經不能用金錢來衡量了。大批外泄的競選郵件顯示，希拉里表面上溫順和善，背地裡正準備給競爭對手按個放血。

那麼，究竟希拉里的郵件是怎樣被泄露的呢？

說來非常簡單，黑客偽裝成 Google 的官方客服，給競選團隊成員威廉·萊因哈特（William Rinehart）發了一封釣魚郵件。郵件內容也很簡單：

有人已經破解了你的郵箱密碼，請儘快登錄修改。

就這樣，黑客不費吹灰之力就拿到了團隊核心成員的郵箱密碼，進而利用這個郵箱在郵件系統內部擴大攻擊，最終完全控制了郵件伺服器。

民主黨的精選團隊，智商應該是超群的。然而就是這樣一群人精卻被簡單的把戲忽悠得團團轉。問題在於，這些人缺乏基礎的郵箱安全意識。

而在釣魚郵件方面，黑客們可是用盡了自己的智慧。

你現在回想一下，自己有沒有收到過郵箱服務商或者管理員發來的「官方郵件」，提示你安全性升級，或者郵箱擴容，或者郵箱遷移。這些郵件非常逼真，有的還帶上了逼真的 LOGO，但無一例外它們都需要你進行密碼登錄驗證。而一旦你輸入了密碼，就等於把自己的郵箱拱手讓人。

如果黑客的僅僅停留在郵件系統，不那麼容易引起直接的資金損失。但黑客絕不會老老實實呆在原地。

國企因為郵箱泄露而被盜取大量資金——郵箱僅僅是跳板，直通你的身家性命

有人會覺得在中國郵箱並不太流行。艾瑞諮詢做了一個調查，結論是中國人使用的企業郵箱服務正在劇烈增長。2009年使用外包企業郵箱的用戶只有1275萬家，而預計2017年，這個數字是1.35億。

越來越多的人使用企業郵箱，而人們對於郵箱安全的概念幾乎為零，這使得郵箱成為了一個絕好的進攻跳板。

這裡有一個血淋淋的中國案例。

一個大型國企的財務人員收到經理的郵件，示意他應該給 A 公司結款，財務人員經過審核發現，確實到了結款的時間，就通過財務系統把錢轉給了「A 公司」。

然而，過了幾個月，真正的 A 公司找到這家企業，要求結款。這時公司才發現，原來之前的幾百萬根本沒有匯進 A 公司的賬戶，而是進了黑客的腰包。

這裡有一些難以理解的問題：企業資源系統（ERP）和辦公系統（OA）是相互獨立的，企業資源系統不和互聯網連接，而辦公系統和互聯網連接。如此推斷，黑客應該無法接觸到財務系統。

經過調查，故事的秘密在於：黑客利用釣魚郵件攻擊了總經理的辦公系統，而總經理用於登錄辦公系統和企業資源系統的密碼是相同的，於是黑客順利跳入了財務系統，不僅偽造總經理向財務髮指示，還在財務系統里直接更改了收款企業的賬號。

由此可見，雖然郵箱本身泄露也許並不能造成經濟損失，但是鑒於郵箱系統和其他系統千絲萬縷的聯繫，黑客幾乎總能找到一種方法滲透到你的核心網路，取你的身家性命。

如果這家中國企業被騙了幾百萬，看客們還覺得不夠刺激，那麼請看下面這個故事。

FACC 被黑客轉走 5000 萬歐元，CEO 引咎辭職——企業才是郵箱泄露的重災區

2016年初，專為波音公司生產零部件的航天零部件公司 FACC 遭到了黑客攻擊。

黑客的突破口恰恰也是公司內部的辦公郵件系統。他們先是利用釣魚郵件搞定了公司重要人員的企業郵箱，然後入侵了財務會計系統，接下來毫不猶豫地從賬面上轉走了 5000 萬歐元。

五千萬歐元，體會一下這個數字有多大。

僅僅因為高管手抖，點了一封釣魚郵件，就讓公司的股價當天直接跳水 17%，不用說，公司的首席執行官和首席財務官都因為這件事而引咎辭職。

另外值得一提的是，FACC 這個公司並不像聽起來那樣離我們很遙遠，雖然它地處奧地利，但是它的股份被中航工業收購。實際上，它算是一家中國公司。

理論上來說，黑客能夠把錢轉走，意味著他們已經對公司的系統實現了全面的控制，他們同樣可以看到機密的圖紙、商業計劃。這些隱性損失是沒有辦法計量的。

相比之下，個人郵箱泄露導致的電信詐騙損失金額，都算是九牛一毛了。這也是為什麼黑客喜歡對企業用戶下手的原因。

員工弱密碼——大部分泄露都源於「作死」

一個中國企業的網路管理員曾經做過測試，向內網中30000名員工發送郵件，內容非常簡單：

我是管理員，我需要你的賬號和密碼。

結果，有600多名員工不問青紅皂白就直接把密碼發來，這其中包括副總裁，秘書，高級總監。可想而知，如果這個郵件是黑客發的釣魚郵件，企業將會淪陷。

然而，很多企業連這個水準都沒有達到。因為對於企業郵箱，員工一般會使用比較簡單的密碼，也就是「123456」這類弱密碼。

根據 360 發布的報告，攻擊者只需要掌握十個最常用的密碼，就能用它們打開全國十分之一的企業郵箱。而很多企業並沒有對密碼嘗試次數做基本的限制，也就是說黑客可以在一天時間內用成百上千的密碼來嘗試登錄你的郵箱，直到成功為止。

對於企業 CEO 來說，就算他能呼風喚雨，也很難讓手下的所有員工使用用數字字母混排的強密碼。就算使用了強密碼，也很難保證員工這些通用的密碼不會在其他的電商、交友平台被泄露。

正是這些看上去無傷大雅的密碼習慣，讓員工把企業推到了作死的地步。

某金融企業郵箱對外發送垃圾郵件——被寄生可能無感覺

事實上，鑒於企業郵件安全漏洞百出，很多企業郵箱已經被黑客「常駐」，但所有的人都不知情。

某國內知名的金融企業，2015年4月的一個晚上突然有 200 多個企業郵箱在異地登錄，向外發送了大量的賭博和發票的垃圾郵件。雖然經過緊急處置，但還是有170封被成功發出了。

這對於金融企業的聲譽來說，簡直是巨大的打擊。

然而，就在這件事情平息四天後，黑客故伎重演，又對外發送了一百多封賭博廣告郵件。

經過溯源，安全研究員發現，其實黑客早在半年前就通過木馬和釣魚郵件控制了企業郵箱系統。經過長期的盤踞「經營」，黑客已經安插了很多方便自己出入的後門。這個黑客組織不僅僅針對一家企業，而是對眾多國有企業進行釣魚攻擊。最終發現至少29家企事業單位的郵件服務系統被攻陷，涉及帳號數千個。

根據專家的介紹，類似於希拉里郵件門的事件，在中國也曾經發生過：某重要部委的郵箱系統長期被美國方向的黑客控制，幸好最終被安全人員發現，否則將會造成更大的損失。

時代華納和 JTB 旅行社——你的郵箱泄露可能是「躺槍」

2016年初，美國最大的有線電視公司時代華納突然被爆出32萬用戶郵箱泄露。這件事情的蹊蹺之處在於：時代華納並不認為自己的伺服器存在漏洞。

所以，專家推測這些數據有可能是從和時代華納有合作的第三方公司泄露的。

黑客拿到用戶的郵箱以後，可以進行有針對性的欺詐，甚至用這些郵箱密碼組合嘗試登錄其他服務。

讓人震驚的郵件攻擊此起彼伏。

2016年7月，日本旅遊業巨頭 JTB 旅行社被黑客入侵。官方聲稱攻擊的來源是一次有針對性的電子郵件釣魚行動：一位公司的員工打開了一個全日空公司的旅行預定要求。這個看起來很正常的郵件，附帶了一種 Word 文檔，其中被植入了名為「PlugX」的極其隱蔽的木馬。從這個附件開始，黑客的觸角逐步滲透到公司的數據伺服器。

這次泄露，導致黑客竊取了公司 793 萬條護照、家庭住址和電子郵箱地址信息。

這些泄露事件說明一個讓人絕望的事實，那就是即使作為個人很好地保護了自己的密碼，也難免被服務商這樣的「豬隊友」出賣。

我們怎麼辦？

事實上，說到郵件防護水平，全球都很差，但中國尤其差。

根據 360 互聯網安全中心的預測，2017年中國郵箱安全事件會大規模爆發，以下是預測數據：

• 郵箱盜號，影響企業600萬+，50%的企業都會遭遇郵箱盜號攻擊
• 機密信息竊取，影響企業10萬+，多數情況下企業是不知情的
• 利用郵箱盜號進行的商業欺詐，經濟損失 50億RMB+
• 利用郵箱傳播敲詐者病毒造成的經濟損失 2億RMB+

看來，郵箱泄露有一萬種姿勢。難道我們束手無策嗎？裴智勇博士認為，在企業郵箱里推廣雙因子認證，是目前來看有效的辦法。

所謂雙因子認證，簡單來說就是除了密碼之外，再加入額外的一個認證因素。這個認證因素可以是手機簡訊，也可以是 App 上的動態密碼口令。

這種情況下， 即使密碼發生了泄露，黑客也無法輕易地登錄受害者郵箱。根據這個思路，360 也開發出了一套企業郵箱安全產品。如果你是一位重視企業郵箱安全的 CEO，也許願意嘗試一下。

本文作者史中，文章於2017年2月7日首發於雷鋒網，個人覺得這雖然是一篇舊文，不過放在現在對大家還是有所幫助的，所以就搬出來供大家閱讀或者能夠回答知乎上某些問題。

我叫史中，是一個傾心故事的科技記者。我的日常是和各路大神聊天。如果想和我做朋友，可以關注微博：史中方槍槍，或者加我微信：shizhongst。

不想走丟的話，你也可以關注我的自媒體公眾號「淺黑科技」。

推薦閱讀：