今天Jason接獲客戶的電話,說有收到三封很奇怪的mail,寄件者是自已公司的mail address,但是並沒有這個mail的存在
內容寫著在某年某月系統有進行更新,請所有的user連結到這個網址來進行更新程式以免造成問題
客戶將這三封信以附件方式寄給我,請我看看到底是不是mail server出事了,我們習慣性的以原始檔的方式打開mail
馬上就看到它的寄發IP及傳遞的路徑,當然,那個釣魚的網址也是個很可笑的連結
我們來假設一個公司,它的Domain叫做jason.com.tw,而這個寄者件的mail就叫做 System-Administrator@jason.com.tw
而這個客戶的mail叫做god@jason.com.tw
這個內容如下:
- - - - - - - - - - - - - - - - 以下為郵件內容 - - - - - - - - - - - - - - - -
Attention!
On October 22, 2009 server upgrade will take place. Due to this the system may be offline for approximately half an hour.
The changes will concern security, reliability and performance of mail service and the system as a whole.
For compatibility of your browsers and mail clients with upgraded server software you should run SSl certificates update procedure.
This procedure is quite simple. All you have to do is just to click the link provided, to save the patch file and then to run it from your computer location. That's all.
http://updates.jason.com.tw.secure.1-upd.net/ssl/id=7178070-god@jason.com.tw-patch34008.exe
Thank you in advance for your attention to this matter and sorry for possible inconveniences.
System Administrator
- - - - - - - - - - - - - - - - 以上為郵件內容 - - - - - - - - - - - - - - - -
事件的省思
釣魚的手法已經不是什麼新聞了,而這個郵件最大的敗筆就敗在台灣的MIS英文不夠好,所以不會有管理者用英文通知
而更好笑的是,將這封信寄出來給Jason看是怎麼一回事的人,還是該公司的高階資訊主管,他想追根究底的問這到底是怎麼一回事
明明就不是公司的mail,為什麼會以公司的mail寄出,而且,網址上還帶有公司的位址,為什麼呢???
原來主管的迷思是:
1.我收到公司的mail而且是不存在的人寄出來的,公司是不是遭到攻擊入侵了?
2.信的內容中帶有公司的網址,但是公司並沒有updates的這台主機呀!是不是被徹底的入侵了?
3.我點了那個連結,他真的下載的到一個執行檔,點了它沒有反應,我的server真的被入侵了!
我的回答:
1.針對第一個問題,這個是常見的mail寄送的技巧,肉腳也可以辦的到。
2.信中帶的不是公司的網址它是DNS上的子網域名稱,真正的名稱是secure.1-upd.net,所以你沒看完,被它給唬了。
3.你點了連結,如果它沒有這麼惡意,了不起每天二三十封的垃圾郵件,但是你不止點了下載下來,還執行了n次…
我很無言了…台灣的資安教育只有防毒嗎?只有入侵嗎??眼睛生下來是用來幹嘛的,有沒有看仔細呢??
真的有待加強,資安團隊們,看來我們的路還很遠,下次煮水餃大會來討論一下吧!!!!
發表文章
習慣就好了
回覆刪除常有的事
這樣的主管很多的
平常心來看待