福利：關注雷鋒網(wǎng)“宅客頻道”公眾號（微信搜索：宅客頻道），回復“郵件報告”可以查看《2016中國企業(yè)郵箱安全性研究報告》全文。

你還在郵箱上使用初戀時就在用的密碼嗎？

你的郵箱密碼和其他平臺的登錄密碼一樣嗎？

你有沒有毫不猶豫地點擊過郵件里的鏈接呢？

你的郵箱密碼是不是簡單到一年級小朋友的知識量就能猜透？

如果你對以上任何一個問題的答案是“Yes”，那么你極有可能已經(jīng)成為郵箱被泄露的一員了。如果你恰好是個名人，或者是企業(yè)的管理層，那么郵箱泄露可能導致的結果會超乎你的想象。

最近，360 互聯(lián)網(wǎng)安全中心對外發(fā)布預警：郵箱泄露將會成為2017年最嚴重的威脅。

雖說郵箱幾乎和互聯(lián)網(wǎng)同時誕生，是互聯(lián)網(wǎng)上的老干部了。但是有很多證據(jù)表明，這個老干部遇到了新問題。黑客有一萬種方法黑掉一個郵箱。而以這個郵箱為入口，黑客可以掌握你的一切。

裴智勇博士是一位來自 360 的安全專家，他覺得一般的教訓很難讓人們重視郵箱安全，所以為雷鋒網(wǎng)宅客頻道列舉了一系列因為郵箱泄露而引發(fā)的“慘案”。

每個慘案背后，都揭示了一個血淋淋的教訓。

貝克漢姆男神形象崩塌——郵箱里有你的所有“黑歷史”

貝克漢姆被稱為這個世界上高、富、帥集成度最高的人。這個公眾眼中勤奮刻苦熱衷慈善樂善好施的好丈夫好父親是為數(shù)不多的正能量范本。

不巧，他的郵箱密碼被黑客拿到了。英國人對郵箱的依賴程度很高，很多私人的談話都會通過郵件發(fā)送。

在給友人發(fā)的私人郵件里，貝克漢姆解放了自己：郵件里不僅有他的私生活記錄，還有他不經(jīng)意間吐槽挖苦其他明星的文字。最要命的是，人們發(fā)現(xiàn)他熱衷于慈善的原因，居然是覬覦“爵士”的頭銜。

看看小貝都說了神馬吧：

• 得知自己和爵士頭銜擦肩而過時，小貝寫了一封很憤怒的郵件，表示不滿意這個結果，說提名他獲勛章的委員會老大是“毫無欣賞力的傻X （unappreciative c****）

• 在一封給他公關經(jīng)理Simon Oliveira的郵件中抱怨道：“Katherine Jenkins拿OBE（官佐勛章）？憑啥？她只會在英式橄欖球比賽上唱唱歌，慰問一下軍隊，還吸毒嗑藥，這尼瑪就是個笑話！”

• 小貝甚至還對他平日里極力討好的委員會爆粗：“他們就是一群婊，我說的沒錯！這些榮譽到底誰說了算？這真尼瑪丟人，如果我是美國人，十年前我就拿到這個了！”

• 對于慈善基金，小貝在私人郵件里寫道：“把幾百萬投到慈善基金，就像把我自己的錢給出去一樣。如果沒有基金，那錢本該是我的。這尼瑪可是我自己的錢！”
  

郵箱泄露讓全世界認識了一個真的貝克漢姆。雖說貝克漢姆已報警，辯稱有人改動了他的郵件，但目測然并卵。

先不談黑客如何黑進他的郵箱，單單郵件泄露這一件事，就是貝克漢姆不能承受之重。因為，就連你自己都忘記說過了什么，但是郵件卻幫你準確無誤地記錄著。人非圣賢，誰都會有搬不上臺面的算計。而這些黑材料永遠是埋在你身邊的定時炸彈。

這件事，是細思極恐的。你的聊天記錄其實就是你的“黑歷史”。試想如果你的微信記錄被黑客公布于天下，也許就連最好的朋友看到你背地里如何議論他，都要和你絕交。

不過，根據(jù)裴智勇的調(diào)查，名人郵箱泄露雖然畫風慘烈，但卻不是郵箱泄露的重點。在所有的郵件攻擊中，針對名人的只占2%的比例，而排名前三的分別為：大中企業(yè) 35%、高等教育機構30%、政府機構22%。

【郵箱攻擊中，各個目標占比】

這么說來，企業(yè)和政府機構才是黑客們的主要“獵物”。這并不難理解，因為政治和經(jīng)濟往往對這個世界的影響更大，而黑客們往往也想“干一票大的”。

希拉里競選團隊郵箱被黑過程——再聰明的人也會上當

2016年，黑客們真的干過一票大的——黑掉了民主黨競選總部郵箱。這件事情對世界造成的改變已經(jīng)不能用金錢來衡量了。大批外泄的競選郵件顯示，希拉里表面上溫順和善，背地里正準備給競爭對手按個放血。

那么，究竟希拉里的郵件是怎樣被泄露的呢？

說來非常簡單，黑客偽裝成 Google 的官方客服，給競選團隊成員威廉·萊因哈特（William Rinehart）發(fā)了一封釣魚郵件。郵件內(nèi)容也很簡單：

有人已經(jīng)破解了你的郵箱密碼，請盡快登錄修改。

就這樣，黑客不費吹灰之力就拿到了團隊核心成員的郵箱密碼，進而利用這個郵箱在郵件系統(tǒng)內(nèi)部擴大攻擊，最終完全控制了郵件服務器。

民主黨的精選團隊，智商應該是超群的。然而就是這樣一群人精卻被簡單的把戲忽悠得團團轉。問題在于，這些人缺乏基礎的郵箱安全意識。

而在釣魚郵件方面，黑客們可是用盡了自己的智慧。

你現(xiàn)在回想一下，自己有沒有收到過郵箱服務商或者管理員發(fā)來的“官方郵件”，提示你安全性升級，或者郵箱擴容，或者郵箱遷移。這些郵件非常逼真，有的還帶上了逼真的 LOGO，但無一例外它們都需要你進行密碼登錄驗證。而一旦你輸入了密碼，就等于把自己的郵箱拱手讓人。

【偽裝成各種姿勢的針對企業(yè)員工的釣魚郵件】

如果黑客的僅僅停留在郵件系統(tǒng)，不那么容易引起直接的資金損失。但黑客絕不會老老實實呆在原地。

國企因為郵箱泄露而被盜取大量資金——郵箱僅僅是跳板，直通你的身家性命

有人會覺得在中國郵箱并不太流行。艾瑞咨詢做了一個調(diào)查，結論是中國人使用的企業(yè)郵箱服務正在劇烈增長。2009年使用外包企業(yè)郵箱的用戶只有1275萬家，而預計2017年，這個數(shù)字是1.35億。

越來越多的人使用企業(yè)郵箱，而人們對于郵箱安全的概念幾乎為零，這使得郵箱成為了一個絕好的進攻跳板。

這里有一個血淋淋的中國案例。

一個大型國企的財務人員收到經(jīng)理的郵件，示意他應該給 A 公司結款，財務人員經(jīng)過審核發(fā)現(xiàn)，確實到了結款的時間，就通過財務系統(tǒng)把錢轉給了“A 公司”。

然而，過了幾個月，真正的 A 公司找到這家企業(yè)，要求結款。這時公司才發(fā)現(xiàn)，原來之前的幾百萬根本沒有匯進 A 公司的賬戶，而是進了黑客的腰包。

這里有一些難以理解的問題：企業(yè)資源系統(tǒng)（ERP）和辦公系統(tǒng)（OA）是相互獨立的，企業(yè)資源系統(tǒng)不和互聯(lián)網(wǎng)連接，而辦公系統(tǒng)和互聯(lián)網(wǎng)連接。如此推斷，黑客應該無法接觸到財務系統(tǒng)。

經(jīng)過調(diào)查，故事的秘密在于：黑客利用釣魚郵件攻擊了總經(jīng)理的辦公系統(tǒng)，而總經(jīng)理用于登錄辦公系統(tǒng)和企業(yè)資源系統(tǒng)的密碼是相同的，于是黑客順利跳入了財務系統(tǒng)，不僅偽造總經(jīng)理向財務發(fā)指示，還在財務系統(tǒng)里直接更改了收款企業(yè)的賬號。

【黑客入侵財務系統(tǒng)示意圖】

由此可見，雖然郵箱本身泄露也許并不能造成經(jīng)濟損失，但是鑒于郵箱系統(tǒng)和其他系統(tǒng)千絲萬縷的聯(lián)系，黑客幾乎總能找到一種方法滲透到你的核心網(wǎng)絡，取你的身家性命。

如果這家中國企業(yè)被騙了幾百萬，看客們還覺得不夠刺激，那么請看下面這個故事。

FACC 被黑客轉走 5000 萬歐元，CEO 引咎辭職——企業(yè)才是郵箱泄露的重災區(qū)

2016年初，專為波音公司生產(chǎn)零部件的航天零部件公司 FACC 遭到了黑客攻擊。

黑客的突破口恰恰也是公司內(nèi)部的辦公郵件系統(tǒng)。他們先是利用釣魚郵件搞定了公司重要人員的企業(yè)郵箱，然后入侵了財務會計系統(tǒng)，接下來毫不猶豫地從賬面上轉走了 5000 萬歐元。

五千萬歐元，體會一下這個數(shù)字有多大。

【幫你體會五千萬歐元有多少的圖片】

僅僅因為高管手抖，點了一封釣魚郵件，就讓公司的股價當天直接跳水 17%，不用說，公司的首席執(zhí)行官和首席財務官都因為這件事而引咎辭職。

另外值得一提的是，F(xiàn)ACC 這個公司并不像聽起來那樣離我們很遙遠，雖然它地處奧地利，但是它的股份被中航工業(yè)收購。實際上，它算是一家中國公司。

理論上來說，黑客能夠把錢轉走，意味著他們已經(jīng)對公司的系統(tǒng)實現(xiàn)了全面的控制，他們同樣可以看到機密的圖紙、商業(yè)計劃。這些隱性損失是沒有辦法計量的。

相比之下，個人郵箱泄露導致的電信詐騙損失金額，都算是九牛一毛了。這也是為什么黑客喜歡對企業(yè)用戶下手的原因。

員工弱密碼——大部分泄露都源于“作死”

一個中國企業(yè)的網(wǎng)絡管理員曾經(jīng)做過測試，向內(nèi)網(wǎng)中30000名員工發(fā)送郵件，內(nèi)容非常簡單：

我是管理員，我需要你的賬號和密碼。

結果，有600多名員工不問青紅皂白就直接把密碼發(fā)來，這其中包括副總裁，秘書，高級總監(jiān)。雷鋒網(wǎng)感到了滿滿的信任。。?？上攵?，如果這個郵件是黑客發(fā)的釣魚郵件，企業(yè)將會淪陷。

然而，很多企業(yè)連這個水準都沒有達到。因為對于企業(yè)郵箱，員工一般會使用比較簡單的密碼，也就是“123456”這類弱密碼。

【十大弱密碼】

根據(jù) 360 發(fā)布的報告，攻擊者只需要掌握十個最常用的密碼，就能用它們打開全國十分之一的企業(yè)郵箱。而很多企業(yè)并沒有對密碼嘗試次數(shù)做基本的限制，也就是說黑客可以在一天時間內(nèi)用成百上千的密碼來嘗試登錄你的郵箱，直到成功為止。

對于企業(yè) CEO 來說，就算他能呼風喚雨，也很難讓手下的所有員工使用用數(shù)字字母混排的強密碼。就算使用了強密碼，也很難保證員工這些通用的密碼不會在其他的電商、交友平臺被泄露。

正是這些看上去無傷大雅的密碼習慣，讓員工把企業(yè)推到了作死的地步。

某金融企業(yè)郵箱對外發(fā)送垃圾郵件——被寄生可能無感覺

事實上，鑒于企業(yè)郵件安全漏洞百出，很多企業(yè)郵箱已經(jīng)被黑客“常駐”，但所有的人都不知情。

某國內(nèi)知名的金融企業(yè)，2015年4月的一個晚上突然有 200 多個企業(yè)郵箱在異地登錄，向外發(fā)送了大量的賭博和發(fā)票的垃圾郵件。雖然經(jīng)過緊急處置，但還是有170封被成功發(fā)出了。

這對于金融企業(yè)的聲譽來說，簡直是巨大的打擊。

然而，就在這件事情平息四天后，黑客故伎重演，又對外發(fā)送了一百多封賭博廣告郵件。

經(jīng)過溯源，安全研究員發(fā)現(xiàn)，其實黑客早在半年前就通過木馬和釣魚郵件控制了企業(yè)郵箱系統(tǒng)。經(jīng)過長期的盤踞“經(jīng)營”，黑客已經(jīng)安插了很多方便自己出入的后門。這個黑客組織不僅僅針對一家企業(yè)，而是對眾多國有企業(yè)進行釣魚攻擊。最終發(fā)現(xiàn)至少29家企事業(yè)單位的郵件服務系統(tǒng)被攻陷，涉及帳號數(shù)千個。

【被某黑客組織“拿下”的企業(yè)各行業(yè)占比】

根據(jù)專家的介紹，類似于希拉里郵件門的事件，在中國也曾經(jīng)發(fā)生過：某重要部委的郵箱系統(tǒng)長期被美國方向的黑客控制，幸好最終被安全人員發(fā)現(xiàn)，否則將會造成更大的損失。

時代華納和 JTB 旅行社——你的郵箱泄露可能是“躺槍”

2016年初，美國最大的有線電視公司時代華納突然被爆出32萬用戶郵箱泄露。這件事情的蹊蹺之處在于：時代華納并不認為自己的服務器存在漏洞。

所以，專家推測這些數(shù)據(jù)有可能是從和時代華納有合作的第三方公司泄露的。

黑客拿到用戶的郵箱以后，可以進行有針對性的欺詐，甚至用這些郵箱密碼組合嘗試登錄其他服務。

讓人震驚的郵件攻擊此起彼伏。

2016年7月，日本旅游業(yè)巨頭 JTB 旅行社被黑客入侵。官方聲稱攻擊的來源是一次有針對性的電子郵件釣魚行動：一位公司的員工打開了一個全日空公司的旅行預定要求。這個看起來很正常的郵件，附帶了一種 Word 文檔，其中被植入了名為“PlugX”的極其隱蔽的木馬。從這個附件開始，黑客的觸角逐步滲透到公司的數(shù)據(jù)服務器。

這次泄露，導致黑客竊取了公司 793 萬條護照、家庭住址和電子郵箱地址信息。

這些泄露事件說明一個讓人絕望的事實，那就是即使作為個人很好地保護了自己的密碼，也難免被服務商這樣的“豬隊友”出賣。

我們怎么辦？

事實上，說到郵件防護水平，全球都很差，但中國尤其差。

根據(jù) 360 互聯(lián)網(wǎng)安全中心的預測，2017年中國郵箱安全事件會大規(guī)模爆發(fā)，以下是預測數(shù)據(jù)：

• 郵箱盜號，影響企業(yè)600萬+，50%的企業(yè)都會遭遇郵箱盜號攻擊

• 機密信息竊取，影響企業(yè)10萬+，多數(shù)情況下企業(yè)是不知情的

• 利用郵箱盜號進行的商業(yè)欺詐，經(jīng)濟損失 50億RMB+

• 利用郵箱傳播敲詐者病毒造成的經(jīng)濟損失  2億RMB+

看來，郵箱泄露有一萬種姿勢。難道我們束手無策嗎？裴智勇博士認為，在企業(yè)郵箱里推廣雙因子認證，是目前來看有效的辦法。

所謂雙因子認證，簡單來說就是除了密碼之外，再加入額外的一個認證因素。這個認證因素可以是手機短信，也可以是 App 上的動態(tài)密碼口令。

這種情況下， 即使密碼發(fā)生了泄露，黑客也無法輕易地登錄受害者郵箱。根據(jù)這個思路，360 也開發(fā)出了一套企業(yè)郵箱安全產(chǎn)品。如果你是一位重視企業(yè)郵箱安全的 CEO，也許愿意嘗試一下。

附：關注雷鋒網(wǎng)“宅客頻道”公眾號（微信搜索：宅客頻道），回復“郵件報告”可以查看《2016中國企業(yè)郵箱安全性研究報告》全文。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權禁止轉載。詳情見轉載須知。