锅传锅，从万茜“被盗号”专业剖析如何防范“邮箱账号被盗”风险 – 作者:zorelworld

近几日，万茜“锅传锅”事件上了热搜。万茜回应此前的点赞行为因“账号被盗”。而涉事平台Z表示“因为万茜的W邮箱被盗，导致其Z平台账号被盗”。

考虑到当前大多数平台账号需绑定邮箱，且通过邮箱账号登陆、验证平台账号安全、修改密码等，如果邮箱账号被盗，确实极易导致其关联的众多平台账号“被盗”。因此“锅传锅”事件中谁在甩锅且抛到一边，作为一名网络安全从业人员，中睿天下从专业角度来剖析，如何防范“邮箱账号被盗”风险。

万茜回应的盗号声明

鉴于电子邮件在信息化时代的重要地位，2017年9月，公安部、工信部、国家保密局三部委曾联合下发“党政机关事业单位和国有企业互联网电子邮件系统安全专项整治工作通知”。2018年9月，工信部网络安全管理局预警“监测发现近十万个互联网用户邮箱疑似被黑客控制，并用来发送垃圾邮件，相关邮箱的账号和密码很可能已泄露或被窃取，存在被进一步窃密或实施钓鱼攻击的风险。”邮件安全问题，尤其是“邮件账号安全”问题成为人们关注的焦点。

具体到防范“邮箱账号被盗”，中睿天下建议在日常网络安全运营工作中做好以下邮件风险监测，防止攻击者“悄悄地来了，又悄悄地走了，并挥挥手留下不明操作若干”。

弱口令密码

“弱口令密码”始终是邮件安全管控最头疼的问题之一。虽然安全人员一再强调弱口令密码的风险，但仍然屡禁不止。用户觉得“弱密码方便记忆”，同样攻击者也觉得“弱密码好破解”。

传统“弱密码字典”和密码轻度检测等手段，可基本解决传统意义上的“简单”弱口令，如“admin123”。但是，一方面，安全人员的字典无法有效覆盖攻击者的字典，另一方面基于姓名、生日等组合而成的“社工弱密码”，以及基于键盘布局的弱密码等可能无法被有效识别。而通过利用攻击者视角，可有效消解这种“攻防的不对等”，加大对弱密码检测的广度与深度，满足“弱密码”风险识别的需求。

暴力破解

既然邮箱弱口令密码广泛存在，门槛极低的“暴力破解”自然成为了攻击者快速大量获取邮箱账号的有效途径。

实时了解有哪些IP正在暴破邮箱资产，是“单点暴破”（单点IP不断尝试暴破）还是“分布式爆破”（通过控制的大量不同主机尝试暴破），并且实时掌握有哪些邮箱资产已经被暴破成功至关重要。这需要根据邮箱账号暴破的特点，建立暴力破解模型，有效识别“单点暴破”“分布式暴破”等暴破方式，以便网络安全管理员快速进行应急处理，防止攻击者利用被控的可信邮箱账号搞事情。

异常登录

异常登陆包括登陆时间异常、登陆地点异常，比如非外勤人员的邮箱账号在外地甚至境外登陆，或者在凌晨3点等非工作时间登陆。

要掌握邮箱账号资产，必须对邮箱账号的登录地点、登录时间进行监控，有任何异常登录行为及时告警，从而最大限度地降低邮箱账号被控带来的损失。

异常操作

获取邮箱账号密码登陆权限只是黑客攻击的第一步，后续往往还会伴随窃取机密，发送垃圾邮件、钓鱼邮件等下一步动作。

通过分析攻击者利用被控邮箱采取的下一步动作，可以找到作案痕迹，并了解攻击者控制邮箱的目的意图。例如，如果发现存在大量发送重要文件、垃圾邮件、威胁邮件，可疑邮件代收等异常行为，邮箱账号极有可能已被攻击者控制。这种情况下时效性尤为重要，需要对域内账号行为实时监控，第一时间发送警告，并采取有效应急响应措施降低损失。

针对以上内容，睿眼·邮件攻击溯源系统均有专门的模块对其进行监控，覆盖可疑域内账号、风险主机、弱密码、暴力破解、分布式破解、异常登陆、多账号登陆、登陆信息、加密流量、源端口异常等场景，有效防范“邮箱账号被盗”风险，防止可信的邮箱用户为攻击者“背锅”。

来源：freebuf.com 2020-09-14 10:32:32 by: zorelworld