海峡信息-紧急通告2015年第01号（钓鱼邮件）

[2015年第01号]

尊敬的海峡信息客户:

黑客为我们送来了新年的一份“大礼”：钓鱼邮箱，黑客通过钓鱼邮件要求用户修改账号密码。攻击者以网络安全的名义仿照公司或微软发出邮件，如“我司邮箱需升级……”、“您的账号在其他地方登陆，请检查……”等，要求用户修改个人密码；但其链接中却可能包含病毒木马或钓鱼网站，一旦我们点击链接，攻击者便能比如：获取我们的账户名密码、使我们的电脑中毒被挂马、通过我们的邮箱向我们的联系人继续发布病毒及垃圾邮件。下面我们将通过一个案例了解其危害，并建议您不要随意查看可疑邮件、不要点击其中的任何链接：

【邮件原文】

---原始邮件---

发件人: "人力资源部"<gaozw@mail.si.net.cn>

发送时间: 2015年01月01日 13:18:30

收件人: "gaozw"<gaozw@mail.si.net.cn>;

主题: 关于邮箱系统升级通知！(非常重要)

为加强公司信息安全管理，请大家在今天下班前必须完成个人邮箱及公共邮箱的升级，否则周一将无法正常使用邮箱，

升级流程如下：

1 尊敬的:gaozw@mail.si.net.cn  

2 近期由于我公司邮箱密码泄露，服务器IP被限制。公司企业邮箱系统计划于即日起开始进行数据迁移，在此之前，请您务必配合做好以下工作。为保证系统的正常使用。 （现需要对邮箱进行升级并需要重新采集用户信息)

3 本次升级检测为期7-15天，为此给你带了不便的地方，敬请理解。为保证顺利升级，在接受到结束通知之前，请不要修改账号密码，谢谢配合

4 若是收到邮件而没有前往升级的用户，将会被停止内部邮件系统的使用！

5 请点这里申请邮箱升级‍

注意：发件人与收件人邮箱相同，攻击者可任意修改发件人，而且这封邮件看起来，就像是公司发出的邮箱升级通知！

【钓鱼过程】

如果我们点击了“请点这里申请邮箱升级”，链接至网页http://fans.51job.com/ZbIvUn  ，该网站为51job的子站服务器，被黑然后被利用，直接跳转至118.193.165.5：

通过分析该IP地址: 118.193.165.5来自香港特别行政区，一旦我们通过该网页登陆我们的邮箱后，账号名、密码就都发送到攻击者的邮箱了！好了，邮箱沦陷！

【预防方法】

1、升级邮箱

2、加强安全防范意识，不要点击可疑邮件中的任何链接