钓鱼邮件里的发票链接，又双叒中招了?(内含有奖征集)

编者按：本文来自微信公众号“论客Alpha实验室”（ID:lunkelab），作者：CACTER小助手，36氪经授权发布。

Coremail邮件安全团队近期发现，利用发票主题的钓鱼邮件攻击有所增加，为更好地保障企业的邮件安全，Coremail自今年4月份起发起，恶意样本提交激励计划

活动长期有效进行，欢迎您的参与！与Coremail共创邮件安全坚实壁垒！ 

1、参与方式

如果您收到了可疑或明显恶意的电子邮件（含木马病毒）。

请直接转发至cac-team@coremail.cn

上传举报。 

只要动动手指，最高即可获得 

500元奖励！

2、奖励奖金

★ 一等奖500元

★ 二等奖200元

★ 三等奖100元

★激励奖：应季时令水果1箱

“恶意样本提交激励”计划主要目的是更好地帮助客户排查潜在风险问题，同时丰富CAC云安全中心威胁邮件云端特征库，共同提升CAC云安全中心的识别能力，共同建造良好的邮件安全环境。 

目前，我们通过活动已接收到27个有效样本，为20家客户发放了红包现金奖励以及水果奖励。 

以下是活动Coremail邮件安全在活动中收到的高危举报案例，以此分享作为提醒。

恶意钓鱼邮件样本分析

7月初，Coremail邮件安全团队接到 某大型国有钢铁集团 客户的举报，称遭到了钓鱼邮件攻击。 

此次举报正是某大型国有钢铁集团客户通过cac-team邮箱进行转发举报而来，十分具有参考价值。 

Coremail邮件安全团队经过专项排查后， 目前此类钓鱼邮件设计精度相比以前的粗陋提升了很多，怀疑是针对性攻击， 于是迅速排查帮助客户解决了该潜在风险事件。 

粗略来看，此封邮件是通知客户下载电子发票的通知性系统邮件，文本特征无异常，而X丰快递公司确实与该国有钢铁集团存在大量业务往来。 

某大型国有钢铁集团收到的钓鱼邮件 

但点击 “下载电子发票” 后，页面跳转到另外的网页上，Coremail邮件安全团队立刻判断出此为钓鱼网站，它具备以下4个高危特征。 

链接跳转的钓鱼网站 

1、页面风格设计 仿冒X丰公司官网 ，点击蓝线圈出部分可跳转至该快递公司官网，辨识难度大。 

2、电子邮件账号 固定无法更改，且不具备“忘记密码功能” ，不符合正常的账号登录页面。 

3、点击 橙线圈出的“运单跟踪”、“快速登录/注册”，页面无响应 ，不符合正常网页的常规功能。 

4、网页地址虽然使用HTTPS协议，安全性较高，但是百度未收录，不符合正规官网特征，如下图所示： 

 未被百度识别收录 

综上所述，可判断该网站为钓鱼网站，而该邮件为钓鱼邮件。 

溯源回顾钓鱼攻击

经回溯分析，Coremail邮件安全发现攻击者最早在6月18日已发起了第一轮钓鱼邮件攻击。 

由于钓鱼特征明显，被CAC云安全中心的反垃圾检测识别为钓鱼邮件并拦截。

攻击者在第一次被拦截后，再次精心策划，通过 伪造发信人 ，伪造了X丰快递公司的邮箱，并对邮件内容进行了“升级”，试图避开CAC识别检测，再次发送主题为电子发票下载的钓鱼邮件。 

这一次，攻击者成功了，成功发送后，攻击者显得十分谨慎周密，8天时间内仅发送17封钓鱼邮件。

目前，CAC云安全中心已将相关情况告知该集团的管理员。 

同时，我们也已将邮件的相关特征更新到云端特征库，后续我们会提升对此类邮件威胁的识别能力，加强对此类主题邮件的检测。

意见与建议

2021年1月-2021年7月期间，CAC云安全中心检测到的威胁邮件数量激增，而钓鱼邮件又因为其 主题种类多，话术更新快，识别难度高 等特点频频成为攻击者的首选攻击方式。 

一旦成功诱导收件人将账号、口令等机密信息回复给指定的接受者或引导收件人连接到特制的网页，输入攻击者想要的机密信息，被攻击的个人或企业将受到极大的经济利益损失。 

因此，Coremail安全团队再次提醒，如遇到钓鱼邮件，可参考以下建议。 

1、对邮件进行 事后删除 ，并提醒域内用户不要点击陌生邮件中的附件或链接。 

2、仔细甄别邮件跳转的网站， 不要轻易输入账号与密码。

3、如再次收到类似的钓鱼威胁邮件， 可及时反馈至cac-team@coremail.cn

4、如需加强域内员工的安全意识，可Coremail反钓鱼演练提升员工邮件安全意识，如需试用，请点击下方“阅读阅文”进行了解。