近日，亞信安全發現一波針對性攻擊/鎖定目標攻擊(Targeted attack )的詐騙活動，攻擊活動由一封郵件開始，偽冒某公司的高級管理人員寄給其它管理人員(例：財務部經理)。與一般詐騙攻擊或是網絡釣魚(Phishing)郵件不同的是，這封郵件沒有任何的附件或是網址鏈接，但其郵件頭已遭到修改，導致收件人回復之后會把郵件寄給攻擊者。若不經仔細檢查，很難發現隱藏在其中的陷阱。亞信安全在此提醒廣大用戶和公眾，請在回復郵件前務必確認郵件的真實性，謹慎點擊來自偽裝高管的詐騙郵件，以防范新型針對性攻擊襲來。

[[155074]]

根據亞信安全云安全智能防護網絡所搜集到的信息，僅僅在九月份，就有至少40家公司被攻擊。

技術細節與解決方案

1. “From”與“To”使用相同的域名，使他看起來像是一封內部郵件，例：CompanyX.com寄給CompanyX.com。

2. “From”與“Reply-To”的域名不同，例：”From”是CompanyX.com，而“Reply-To”是類似gmail.com或其他外部域名。

3. 目前發現“Workspace Webmail”及“Roundcube Webmail”在這類攻擊中常被使用。

4. Email容量不大，不容易被懷疑。

5. Email內常包含某些特定字詞像是“wire”或“transfer”。

6. “Reply-to”欄位常包含“executive”或“ceo”或“chief”等關鍵字。

詐騙攻擊郵件樣本

回復郵件時，收件人為外部域名郵箱

有鑒于該類型詐騙郵件嚴重的安全威脅，亞信安全技術總監蔡昇欽建議:”客戶在回復郵件前，請務必確認郵件的真實性，即使郵件聲明由公司高層管理者發來，也不要輕易相信，而是應仔細核實郵件內容以及郵件地址的真實性，必要的時候可以用電話等方式進行確認。如果該郵件的“mail from”與“reply-to”是不同的郵箱地址，那就務必提高警覺，因為該郵件很有可能是一封詐騙郵件。”

據了解，亞信安全Email信譽評等(ERS, Email Reputation Services)技術的團隊已更新了病毒碼，可以偵測此類型攻擊，企業用戶可以部署具備ERS技術的亞信安全“郵件安全解決方案”來進行防范。如用戶發現任何攻擊郵件未被偵測，請立即向亞信安全技術響應中心匯報。