一、背景
在攻防演练和实战攻防中,邮箱经常会被作为社会工程学的入口。一方面,由于邮箱地址的暴露,攻击者可以针对其进行钓鱼攻击或者直接投放各类免杀病毒;另一方面,邮箱也可能被作为“社工库”检索密码、ID、手机号、身份证等个人信息的关键标识。
所以在全面的主动防御工作中,对于邮箱地址暴露以及邮箱相关信息泄露的数据,往往能帮助CISO收敛攻击面和进行有效防范。
这方面的数据采集,国内曾经比较滞后,CISO只能通过自行采集或者hunter.io进行检索,而这一方面会造成数据收集不全面(例如检索面不够广,或者有的使用个人邮箱注册企业信息未被涵盖),在另一方面这些数据无法与在暗网中泄露的数据进行关联,达到更好的防御效果。
现在0.zone提供了最好的国内邮箱采集数据,协助CISO进行更好的主动防御工作:https://0.zone
本文举例中,展示的公司及邮箱,均经过相关公司或邮箱所有人授权许可。
二、用企业检索
第一种方法是使用企业信息进行检索。在0.zone的首页搜索企业名称,然后找到相关的企业报告,如下图红框所示:
在“邮箱”数据栏,可以看到“零零信安”公司有5个邮箱地址泄露。
绿色框中的这个为私人邮箱,是企业工商注册邮箱(可配合“人员”数据获悉),这个邮箱相关的个人隐私信息在暗网中存在7个泄露源,在下方标注了具体泄露源以及泄露数据的类型。
蓝色框中的这个为企业邮箱,下方标注了邮箱地址暴露源的详细地址,如果不需要暴露,可联系相关人员或平台,将暴露的邮箱地址删除或下线。
同时放上hunter.io的检索结果进行对比参考:
此外,进入“人员”数据,可以看到该企业其他相关人员信息,在“导出报告”时,可选择同时猜测相关人员邮箱地址。
另外的情况,在对大型集团企业,或者提供邮箱服务的企业进行检索时,可能出现“数据过度”的情况,也就是其中可能包含与大型企业相关的其他企业邮箱或者提供邮箱服务的企业的私有邮箱地址。这时候可在左侧栏选择相关邮箱域,进行精确检索。如下图所示:
上图为提供邮箱服务的某互联网企业,左侧红框中即为该企业内部员工的邮箱域,选择该选项,可获得精准数据:
同时依然用hunter.io进行数据对比:
更多使用技巧,以及高级搜索使用技巧,请关注“使用必读”,也可添加运营微信或进入社群进行咨询。
三、用邮箱域检索
对于需要进行精确邮箱域检索的场景,可直接在搜索栏输入邮箱域地址:“@XXX.COM”的格式进行检索。
同时,搜索栏也支持任意单一邮箱的精准查询。在进行精准查询的时候,会将具体该邮箱泄露的详细内容,例如泄露源、泄露数据类型、泄露时间等,进行显示,以供该邮箱拥有者进行有针对性的修改和防范。
四、如何下达检索任务
由于各种大中小微企业众多,邮箱域更多,0.zone在进行邮箱地址的暴露采集时,是根据企业进行采集的,所以在有的情况下,您的企业可能会出现未被收纳在系统中,或收纳在系统中但数据没有关联上,导致数据不完善。例如,某个公司如果叫“test123456公司”,它的数据未被收纳,则会出现类似以下两种提示:
注意,以上数据,在“全部”中未出现“企业报告”则代表未被收纳或数据未进行关联。
此时,请在右下角下达检索任务:
系统将会在一段时间后将数据进行检索、聚合或关联后,通知给您(依据系统当前任务队列情况不同,大约在1-4小时内会完成)。
五、邮箱暴露的风险
邮箱泄露包含:邮箱地址泄露,以及邮箱其他敏感信息的泄露。
邮箱地址的泄露,有时候是不可避免的,因为在需要的情况下,企业中某些邮箱是必须公开在互联网上的,例如商务合作邮箱等。但是更多的时候,很多邮箱地址是不需要暴露在互联网上的,尤其是企业员工邮箱和员工的个人邮箱。攻击者通常利用收集到的邮箱地址作为钓鱼邮件和投放宏病毒等的靶标,如果企业中有大量邮箱地址暴露,会增加防范难度,攻击者实施钓鱼或释放病毒的成功率将会大幅提高。
邮箱其他敏感信息的泄露,可能包含用户名、密码、电话号码、姓名、家庭住址、身份证号、银行卡号等等,这些信息通常并不是在公开网络上泄露的,更多可能性是在暗网中泄露。它们通常已经被攻击者制作成“社工库”,用于直接对于个人的信息攻击。
六、安全整改建议
无论对于邮箱地址的暴露,还是邮箱其他敏感信息的泄露,在0.zone中均尽量标注了其来源。
- 企业针对邮箱地址的暴露源可进行检查,如果非必要,请联系相关平台或个人,将该暴露源中的邮箱地址删除。
- 对于邮箱其他敏感信息的泄露,企业需要与相关泄露个人进行联系,督促其尽量修改相关的密码等信息。
- 企业可部署双因素认证或者其他针对邮箱、OA等系统登录时更严格的安全策略。
- 企业需要增强防病毒(尤其是邮件病毒)策略,以及办公网络的补丁策略,以防通过邮箱投放的各类病毒或蠕虫类软件。
- 增强对于全员的安全意识教育,尤其是对于领导层、行政、运营、销售等岗位的安全意识教育,可有效增强对抗邮件钓鱼的攻击。
发表评论
您还未登录,请先登录。
登录