近日,交通运输部连续发布两期交通运输行业网络安全信息通报,《关于防范黑客通过仿冒“ETC在线认证”网站实施网络诈骗的风险通报》(第131期)、《关于警惕钓鱼邮件攻击的预警通报》(第132期),对近期出现的两个案例进行了分析,并就如何加强网络安全防范提出了具体的方法和意见。为进一步加强交通运输行业网络安全管理,宣传普及防木马病毒入侵、防网络诈骗常识,我局高度重视该项工作,发动局直各单位及交通系统广大干部职工,认真开展专项知识学习,提高思想认识、增强识别和防范网络危险能力。
一、案例分析学习
(一)仿冒“ETC在线认证”网站实施网络诈骗
网页仿冒是通过构造与某一目标网站高度相似的页面诱骗用户的攻击方式。钓鱼网站是网页仿冒的一种常见形式,常以垃圾邮件、即时聊天、手机短信或网页虚假广告等方式传播,用户访问钓鱼网站后可能泄露账号、密码等个人隐私。近期,国家互联网应急中心(以下简称“CNCERT”)监测发现互联网上出现大量仿冒“ETC在线认证”网站的钓鱼页面。诈骗分子通过此类钓鱼网站,诱骗获取ETC用户的真实姓名、银行卡账号、身份证号、银行预留手机号、取款密码等个人隐私信息,从而盗取资金。
此类钓鱼网站主要呈现为以下几种:
钓鱼网站ETC信息认证1
钓鱼网站ETC信息认证2
钓鱼网站ETC信息认证3
(二)“十四五重大项目基本情况表”钓鱼邮件
近期交通运输部机关发现以“十四五重大项目基本情况表”名义,发送钓鱼邮件企图窃取账户名和密码并植入木马病毒控制内部网络的情况。现将本次钓鱼邮件攻击详细情况通报如下:
1. 钓鱼邮件特征
(1)内嵌钓鱼链接。钓鱼邮件内一般均嵌入钓鱼链接,如本案例中,邮件内嵌入的钓鱼域名http: //checkmail.mot.gov.cn.scaoscca.site/(如图一),与真实地址mail.mot.gov.cn高度相似,但仔细留心可以发现不同之处,比如原地址为“mail”,钓鱼地址为“checkmail”,且钓鱼地址一般会有多余后缀(.scaoscca. site)。此外,钓鱼地址文字描述还存在错字“身分”(如图二),真实合规网站极少出现此类低级错误。
图一钓鱼邮件截图
图二伪造的钓鱼链接页面
图三部正规邮箱登录页面
(2)骗取账户名密码。点击钓鱼域名后一般会通过各种方式诱导用户输入账户密码,本案例增加了身份确认页面,通过仿照正常登录页面以降低用户的警戒心理,从而得到用户的邮箱账户密码。
(3)植入木马实现远程控制。钓鱼邮件通常会诱导用户下载并运行文件(如word、exe ),以此来植入木马以实现远程控制。虽然目前很多邮件服务器会对邮件附件进行查杀,但钓鱼邮件可通过百度网盘等第三方下载的方式绕过邮件服务器检查,用户一旦下载并运行则有很大几率会被远程控制。
二、加强安全识别和防范意识,掌握日常防范方法
(一) 加强公众安全意识宣传
局机关办公室以邮件、公告、微信、QQ等形式,向交通系统发布预警信息,要求职工干部以及服务对象不要轻易打开短信或邮件中来历不明的网址链接,警惕网页在线验证要求,不轻易提供自己的银行卡号、取款密码、身份证号等重要隐私信息,避免不必要的经济损失。目前,天门ETC网点为中国银行、建设银行、工商银行、农业银行、农商银行、邮储银行5家,办理ETC相关业务可直接拨打各大银行的热线电话咨询,尽量到银行柜台办理。
(二) 钓鱼邮件日常防范的方法
钓鱼邮件安全防范首先应建立“零信任”的安全防范意识,在电子邮件系统使用时,要积极开展日常防范,沉着应对安全事件。
1.不打开邮箱中不明来历、不明情况的电子邮件或链接,发现异常情况及时报告。
2.打开钓鱼邮件发生网络安全事件时,要及时报给单位网络安全管理员(局机关办公室),修改登录密码,切断受感染设备网络连接,最好使用多种杀毒软件进行全盘查杀。
3.个人电脑、邮箱、应用系统等严禁设置弱口令,密码应涵盖英文(大小写)、数字、符号三种及以上混合,并定期更换。
4.禁止将登录账号、密码、IP地址、网络拓扑图、系统配置信息等敏感信息以明文形式在邮件系统中传输、存储、处理。
5.工作中不访问、浏览与工作无关网站,特别是不访问、浏览非正规网站,不乱插U盘,不给各类病毒、木马可趁之机。
6.严禁使用“翻墙’’ “代理’’软件违规访问境外网站。