高校郵件系統盜號問題處置經驗-復旦大學

高校郵件系統盜號問題處置經驗

復旦大學資訊化辦公室 徐藝揚

一、高校郵箱的賬號管理難點

     對大部分國內高校而言，首先是使用者量大，在校師生多至幾萬名，離校使用者每年增加，實際使用者數量大大超過在校師生數量。其次是使用者賬號風險高，高校師生的郵箱是竊取的重點目標，很多師生的安全意識和使用習慣也有待提升。第三是盜號等攻擊成功後負面影響大，一旦被盜號，賬戶本身的資訊和聯絡人資訊就會洩露，導致一連串的影響。攻擊者很有可能會外發大量的惡意郵件，造成發信 IP被列入黑名單；攻擊者很有可能利用被盜郵箱的聯絡人資訊，擴大惡意郵件傳播影響範圍；更嚴重的後果是財產損失和洩露重要科研資訊。

二、常見的攻擊手段與處置建議

在高校郵件系統日常運維中，常見的攻擊手段主要是暴力破解盜號，以及仿冒郵件、詐騙郵件、釣魚郵件等。例如， 2022年 上半年 ，來 自 江蘇、安徽等地 的 IP 成為 暴力破解 行為的 主要 來源 ； 高校郵件系統近期 高發的 “系統備案”“賬號備份”“郵服系統升級” “ 密碼到期 ” 類郵件；再次抬頭的冒用 “領導”名義、以“在嗎”開頭的詐騙郵件等 。
     面對黑產攻擊，我們的應對處置一般都是滯後的，同時針對郵件系統的黑產攻擊也在逐漸升級。 一般來說，直到系統或使用者發現異常登入和發信行為，才會知道賬號已經被盜。 例如盜號攻擊者會事先 “踩點”，盜取多個賬戶進行儲備，且從盜號到傳送垃圾郵件之間，攻擊者的潛伏和準備週期特別長 ； 惡意郵件的 發信行為更為貼近正常使用者，或者內容上繞開關鍵詞檢測，儘量在一般郵件系統檢測異常行為的閾值之內活動，難以第一時間察覺；垃圾郵件發件人會不斷更換髮件賬號、 IP，調整主題、內容，降低頻率，發信成功率大大提高、被發現異常的機率降低。

     對此，我們分享以下處置建議

1.加大郵件系統建設和安全措施方面的投入，例如防火牆、郵件閘道器、郵件稽核、反垃圾等措施，強化日常的監測與處置。

2.定期對郵件系統進行巡檢，關注弱密碼使用者、設定自動轉發使用者，提醒使用者提高密碼強度，對於長時間不活躍的賬戶，可以考慮凍結或鎖定，減少攻擊面。

3.加強使用者安全意識培養，主要方式包括安全宣傳、培訓和演練。加強對使用者的宣傳教育，利用熱點新聞、網路安全宣傳週、新生入學教育、新職工入職培訓等契機，開展多樣化的宣傳，利用微信公眾號開展資訊保安宣傳教育。其中，釣魚郵件演練的效果是非常顯著的。 某高校曾 面向新生開展了一次釣魚郵件演習，點選了連結的同學中，試圖輸入使用者名稱和密碼 的 比例很高。後續遇到釣魚郵件 時 ，很多師 生 能夠主動識別發件人、內容和連結的特徵，還能幫助其他人判斷、解答。面對真正的釣魚郵件，中招的機率 大大 降低。

版權宣告：本文為復旦大學資訊化辦公室徐藝揚老師的原創文章，文章首發於 Coremail雲服務中心管理員社群。轉載請附上原文出處連結及本宣告。