第一章 收到邮件

我叫张三，万万没想到，我终于要涨工资了。

这天晚上7点，忙碌了一天的我正准备下班，突然听到公司邮件的响声，“噔噔”，正抵触的不愿意打开，邮件主题赫然出现的几个大字“关于张三的涨资通知”映入眼帘。“难道我默默为公司做的一切，就这样...被发现了？”看到收件人是 HR 系统的名字，我老泪纵横地打开邮件。

邮件内容截图：

(相关资料图)

我怀着激动的心情，点击链接，输入我的用户名、密码去 HR 系统查看——

“果然是本人没错了！”

然后美滋滋的关闭页面，下班！准备涨薪！

隔了一天后，主管找到我，气哄哄地说我给他发送了一封钓鱼邮件，差点导致公司人员信息全部泄露！

听完之后我一脸懵逼，简直不能相信，我问主管怎么发现的。

他说：幸亏有 360 沙箱云 ，不然公司的资料就全部泄露了！

于是我带着所有疑惑找到 360 沙箱云 ，开启我的解迷之旅。

第二章 360 沙箱云的解迷之旅

1.0 你的信息如何被泄露

这是一份虚假的邮件，在你点击hr系统的链接时候，会跳入威胁者事先准备好的和你hr系统一摸一样的假网站，在这个网站输入用户名和密码后，你的用户名和密码就泄露了，然后再用你的用户名、密码入侵系统，以你的口吻给你的主管发送了一封虚假邮件，当你的主管点击虚假邮件的链接后，会以相同的套路获取他的用户名、密码，然后入侵更核心的数据库获取更核心的数据。

2.0 虚假的邮件如何进来的

这封虚假的邮件，伪造邮件中发件人的信息（或已拥有你司部分人员的真实信息）使其躲过了公司传统邮件安全网关的身份验证（SPF、DKIM、DMARC），由于邮件正文中并不涉及邮件过滤策略中的静态特征和关键字，邮件使用的钓鱼链接并不在已有的黑白名单库中使其顺利的通过了邮件内容审查，然后这封钓鱼邮件就顺利的到达了你的收件箱里。

3.0 除了链接还有哪些地方是陷阱

钓鱼邮件通常有两处地方是陷阱，第一处就是邮件中的 URL、域名，你已经为我们以身试法了，另外一处就是附件，附件会携带病毒、木马程序，一旦下载并在本机双击打开后就有可能会长期潜伏在你的电脑里面，实时监控你的操作和数据，连接网络，将你的数据传输给威胁组织，或者在你的电脑上运行一些非法程序，造成你的数据或者财产损失。

4.0 360 沙箱云如何保护你

360 沙箱云的“云邮件网关”有着强大的分析判定和溯源能力，可以实时监控你的邮件安全。

4.1 邮件内容的提取和分析判定

360沙箱云支持对邮件里面的文本、URL、图片、压缩文件进行提取，进行静态和动态的分析。

(1) 静态分析

精确识别文件类型，包括普通文件和需要解密的压缩文件，结合邮件正文及时预见文件类型欺诈，将检测利剑指向威胁核心。

（2）行为分析

准确记录文件打开后产生的行为关系图及行为详细信息，包括文件、注册表、进程、模块、系统、网络、同步、界面、文档等，通过各种维度分析给行为进行打分，并通过颜色标识威胁等级。

（3）网络分析

依托丰富的流量规则库对样本产生的网络流量进行威胁检测，支持流量检测、文件还原功能， 通过流量检测可以进行风险预估，文件还原则可以快速将流量中的可识别文件转储到本地后执行多引擎扫描，结合威胁情报快捷查询，进一步提升检测可靠性。

（4）释放文件

准确记录文件打开后释放的文件，并对释放文件进行静态分析与多引擎扫描判定。使用 360 安全情报中心实时关联邮件附件的威胁情报，及时判断文件信誉。

（5）释放内存

对样本运行过程中的内存释放进行转储，真正地深入进程进行威胁检测，让威胁无所遁形。

4.2 威胁组织的追踪溯源

（1）威胁指标

对样本自身及样本运行过程中产生的衍生物情报指标进行威胁判定，深度分析样本威胁程度。依托 360 威胁情报中心的支持，对攻击者来源和身份背景分析，实现攻击溯源。积累样本资源，通过信息自动化反馈机制，不断提高系统威胁感知能力。

（2）关联分析

依托 360 沙箱云威胁知识图谱，对样本及样本运行过程中产生的情报指标进行任务关联分析，拓宽威胁视野。

4.3 360沙箱云总结

（１）360沙箱云能够帮助用户更早的看见威胁，并及时告警防御，将威胁遏制住摇篮中，避免用户经济财产损失。

（２）360沙箱云能够发现威胁后进行全面的对威胁进行分析，包括静态分析、行为分析、网络分析、释放文件分析、释放内存分析，通过多维度比对，告知用户威胁程度，让用户最大程度了解威胁。

（３）360沙箱云联合威胁情报，对威胁者进行威胁溯源分析，判断家族团伙信息、攻击影响、技战术特点、传播方式等，快速制定风险消除和事件响应策略。

第三章 如何避免被钓鱼？

一、企业加强电子邮件系统网络边界和出入口安全监测，对用户异地登录、大批量下载转发邮件等行为设置双因子认证，做好网络通联和用户行为日志留存。

二、企业启用自带或专用的电子邮件服务器安全防护策略，及时更新恶意邮件地址库，开启实时过滤、拦截钓鱼邮件功能。

三、公众用户注意甄别电子邮件发件人地址或者域名是否为仿冒，对于无法确定来源、疑似仿冒、索要账号口令等可疑邮件，不轻易点击电子邮件中的附件、链接。

四、公众用户设置包含大小写字母、数字或特殊字符的电子邮箱登陆口令并定期更新，正确配置和使用电子邮箱敏感操作二次认证、异地异常登录报警等安全防护功能。

五、公众用户安装并及时更新计算机、手机等终端杀毒软件，定期进行全盘查杀。

第三章摘自：中国通信企业协会 《关于防范钓鱼邮件攻击的网络安全风险提示》发布时间：2023-01-13

关键词： 邮件内容 静态分析 电子邮件