Barracuda：拆解黑客電郵收件匣規則犯罪4招

雲端安全解決方案供應商Barracuda發表最新一份威脅聚焦報告，指黑客成功入侵電郵帳戶後，可濫用收件匣規則以逃避偵測，同時透過被入侵的收件匣，將信息悄悄移出企業網絡。這類攻擊還可令受害者看不到安全警告，將指定郵件存儲在鮮為人知的文件夾內，令受害者不易找到，而黑客亦可假扮資深行政人員，藉要求刪除訊息以勒索金錢。

濫用電郵攻擊行之有效

Barracuda電郵保護產品管理經理Prebh Dev Singh表示：「濫用電郵收件匣規則是一種非常有效的攻擊策略，攻擊可隱蔽進行之餘，一旦黑客入侵帳戶後便容易實行。儘管多年來電郵偵測已經取得進展，並且機器學習的使用令可疑的規則創建更易被發現，但我們的偵測數據顯示，攻擊者仍成功使用這種技術。惡意規則的創建嚴重威脅機構的數據和資產完整性。這種後入侵技術表明公司已經遭到攻擊者入侵網絡，並要立即採取行動將其清除。」 

一旦黑客成功入侵受害者的電郵帳戶，例如通過釣魚攻擊或盜竊得來的憑證，他們可以設置一個或多個自動化電郵規則，令他們可以隱秘而持久地訪問郵箱，並用於各種惡意目的，包括： 

• 盜取訊息或金錢，並延遲偵測。攻擊者或會設立一個規則，將包含敏感且有可能帶來利潤關鍵詞 (如「付款」，「發票」或「機密」) 的所有郵件轉發到外部地址。 
• 通過將此類郵件移至甚少使用的文件夾，標記為已讀或直接刪除，隱藏特定的入站郵件，例如安全警報或指揮及控制通訊。 
• 監視受害者的活動，並收集有關受害者或其機構的情報，以用於進一步的利用或操作。 
• 針對商業電郵騙案 (BEC) 攻擊設置一個規則，刪除特定同事的所有收件，例如首席財務官 (CFO) 。黑客可以藉這類攻擊假扮CFO，向同事發送假電郵，讓他們將公司資金轉到黑客控制的銀行帳戶中。 

重置電腦不能刪除惡意規則

如果惡意規則未被發現及移除，即使受害者更改密碼、打開多重身份驗證、實施了其他嚴格的有條件訪問政策，或完全重建了他們的電腦，該規則仍然有效。 

對抗惡意電郵收件匣規則的有效防禦措施 

• 最有效的保護是預防 – 機構應從一開始便阻止黑客入侵帳戶。 
• 您還需要有效的偵測和回應事件措施，以識別遭受入侵的帳戶並減輕影響。這包括完全了解每個員工收件匣中正在進行的每個操作、創建的規則、修改或訪問的內容、用戶的登入記錄、已發送郵件的時間、地點和內容等等。 
• 基於人工智能的保護措施，會使用這些數據為每個用戶創建智能帳戶配置文件 – 任何細微的異常情況都會立即被標記並引起關注。 
• 冒充保護使用多種信號，以識別帳戶是否已受到接管攻擊，如登錄數據、郵件數據和統計模型以及規則等。 
• 最後，跨層級偵測與回應 (XDR) 措施，包括Barracuda的XDR雲端安全和由安全營運中心 (SOC) 提供的全天候監控，即使是深度隱藏和模糊的活動，也能被發現和消除。