七个邮箱泄漏“惨案”揭示七个黑客真相-媒体爆料邮箱

　　如果你对以上任何一个问题的答案是“Yes”，那么你极有可能已经成为邮箱被泄露的一员了。如果你恰好是个名人，或者是企业的管理层，那么邮箱泄露可能导致的结果会超乎你的想象。

　　虽说邮箱几乎和互联网同时诞生，是互联网上的老干部了。但是有很多证据表明，这个老干部遇到了新问题。黑客有一万种方法黑掉一个邮箱。而以这个邮箱为入口，黑客可以掌握你的一切。

　　裴智勇博士是一位来自 360 的安全专家，他觉得一般的教训很难让人们重视邮箱安全，所以为雷锋网宅客频道列举了一系列因为邮箱泄露而引发的“惨案”。

　　贝克汉姆被称为这个世界上高、富、帅集成度最高的人。这个公众眼中勤奋刻苦热衷慈善乐善好施的好丈夫好父亲是为数不多的正能量范本。

　　不巧，他的邮箱密码被黑客拿到了。英国人对邮箱的依赖程度很高，很多私人的谈话都会通过邮件发送。

　　在给友人发的私人邮件里，贝克汉姆解放了自己：邮件里不仅有他的私生活记录，还有他不经意间吐槽挖苦其他明星的文字。最要命的是，人们发现他热衷于慈善的原因，居然是觊觎“爵士”的头衔。

　　得知自己和爵士头衔擦肩而过时，小贝写了一封很愤怒的邮件，表示不满意这个结果，说提名他获勋章的委员会老大是“毫无欣赏力的傻X（unappreciative c****）

　　在一封给他公关经理Simon Oliveira的邮件中抱怨道：“Katherine Jenkins拿OBE（官佐勋章）？凭啥？她只会在英式橄榄球比赛上唱唱歌，慰问一下军队，还吸毒嗑药，这尼玛就是个笑话！”

　　小贝甚至还对他平日里极力讨好的委员会爆粗：“他们就是一群婊，我说的没错！这些荣誉到底谁说了算？这真尼玛丢人，如果我是美国人，十年前我就拿到这个了！”

　　对于慈善基金，小贝在私人邮件里写道：“把几百万投到慈善基金，就像把我自己的钱给出去一样。如果没有基金，那钱本该是我的。这尼玛可是我自己的钱！”

　　邮箱泄露让全世界认识了一个真的贝克汉姆。虽说贝克汉姆已报警，辩称有人改动了他的邮件，但目测然并卵。

　　先不谈黑客如何黑进他的邮箱，单单邮件泄露这一件事，就是贝克汉姆不能承受之重。因为，就连你自己都忘记说过了什么，但是邮件却帮你准确无误地记录着。人非圣贤，谁都会有搬不上台面的算计。而这些黑材料永远是埋在你身边的定时炸弹。

　　这件事，是细思极恐的。你的聊天记录其实就是你的“黑历史”。试想如果你的微信记录被黑客公布于天下，也许就连最好的朋友看到你背地里如何议论他，都要和你绝交。

　　不过，根据裴智勇的调查，名人邮箱泄露虽然画风惨烈，但却不是邮箱泄露的重点。在所有的邮件攻击中，针对名人的只占2%的比例，而排名前三的分别为：大中企业 35%、高等教育机构30%、政府机构22%。

　　这么说来，企业和政府机构才是黑客们的主要“猎物”。这并不难理解，因为政治和经济往往对这个世界的影响更大，而黑客们往往也想“干一票大的”。

　　2016年，黑客们真的干过一票大的——黑掉了竞选总部邮箱。这件事情对世界造成的改变已经不能用金钱来衡量了。大批外泄的竞选邮件显示，希拉里表面上温顺和善，背地里正准备给竞争对手按个放血。

　　说来非常简单，黑客伪装成 Google 的官方客服，给竞选团队成员威廉·莱因哈特（William Rinehart）发了一封钓鱼邮件。邮件内容也很简单：

　　就这样，黑客不费吹灰之力就拿到了团队核心成员的邮箱密码，进而利用这个邮箱在邮件系统内部扩大攻击，最终完全控制了邮件服务器。

　　的精选团队，智商应该是超群的。然而就是这样一群人精却被简单的把戏忽悠得团团转。问题在于，这些人缺乏基础的邮箱安全意识。

　　你现在回想一下，自己有没有收到过邮箱服务商或者管理员发来的“官方邮件”，提示你安全性升级，或者邮箱扩容，或者邮箱迁移。这些邮件非常逼真，有的还带上了逼真的 LOGO，但无一例外它们都需要你进行密码登录验证。而一旦你输入了密码，就等于把自己的邮箱拱手让人。

　　有人会觉得在中国邮箱并不太流行。艾瑞咨询做了一个调查，结论是中国人使用的企业邮箱服务正在剧烈增长。2009年使用外包企业邮箱的用户只有1275万家，而预计2017年，这个数字是1.35亿。

　　越来越多的人使用企业邮箱，而人们对于邮箱安全的概念几乎为零，这使得邮箱成为了一个绝好的进攻跳板。

　　一个大型国企的财务人员收到经理的邮件，示意他应该给 A 公司结款，财务人员经过审核发现，确实到了结款的时间，就通过财务系统把钱转给了“A 公司”。

　　然而，过了几个月，真正的 A 公司找到这家企业，要求结款。这时公司才发现，原来之前的几百万根本没有汇进 A 公司的账户，而是进了黑客的腰包。

　　这里有一些难以理解的问题：企业资源系统（ERP）和办公系统（OA）是相互独立的，企业资源系统不和互联网连接，而办公系统和互联网连接。如此推断，黑客应该无法接触到财务系统。

　　经过调查，故事的秘密在于：黑客利用钓鱼邮件攻击了总经理的办公系统，而总经理用于登录办公系统和企业资源系统的密码是相同的，于是黑客顺利跳入了财务系统，不仅伪造总经理向财务发指示，还在财务系统里直接更改了收款企业的账号。

　　由此可见，虽然邮箱本身泄露也许并不能造成经济损失，但是鉴于邮箱系统和其他系统千丝万缕的联系，黑客几乎总能找到一种方法渗透到你的核心网络，取你的身家性命。

　　黑客的突破口恰恰也是公司内部的办公邮件系统。他们先是利用钓鱼邮件搞定了公司重要人员的企业邮箱，然后入侵了财务会计系统，接下来毫不犹豫地从账面上转走了 5000 万欧元。

　　仅仅因为高管手抖，点了一封钓鱼邮件，就让公司的股价当天直接跳水 17%，不用说，公司的首席执行官和首席财务官都因为这件事而引咎辞职。

　　另外值得一提的是，FACC 这个公司并不像听起来那样离我们很遥远，虽然它地处奥地利，但是它的股份被中航工业收购。实际上，它算是一家中国公司。

　　理论上来说，黑客能够把钱转走，意味着他们已经对公司的系统实现了全面的控制，他们同样可以看到机密的图纸、商业计划。这些隐性损失是没有办法计量的。

　　相比之下，个人邮箱泄露导致的电信诈骗损失金额，都算是九牛一毛了。这也是为什么黑客喜欢对企业用户下手的原因。

　　结果，有600多名员工不问青红皂白就直接把密码发来，这其中包括副总裁，秘书，高级总监。雷锋网感到了满满的信任。。。可想而知，如果这个邮件是黑客发的钓鱼邮件，企业将会沦陷。

　　然而，很多企业连这个水准都没有达到。因为对于企业邮箱，员工一般会使用比较简单的密码，也就是“123456”这类弱密码。

　　根据 360 发布的报告，攻击者只需要掌握十个最常用的密码，就能用它们打开全国十分之一的企业邮箱。而很多企业并没有对密码尝试次数做基本的限制，也就是说黑客可以在一天时间内用成百上千的密码来尝试登录你的邮箱，直到成功为止。

　　对于企业 CEO 来说，就算他能呼风唤雨，也很难让手下的所有员工使用用数字字母混排的强密码。就算使用了强密码，也很难保证员工这些通用的密码不会在其他的电商、交友平台被泄露。

　　某国内知名的金融企业，2015年4月的一个晚上突然有 200 多个企业邮箱在异地登录，向外发送了大量的赌博和发票的垃圾邮件。虽然经过紧急处置，但还是有170封被成功发出了。

　　经过溯源，安全研究员发现，其实黑客早在半年前就通过木马和钓鱼邮件控制了企业邮箱系统。经过长期的盘踞“经营”，黑客已经安插了很多方便自己出入的后门。这个黑客组织不仅仅针对一家企业，而是对众多国有企业进行钓鱼攻击。最终发现至少29家企事业单位的邮件服务系统被攻陷，涉及帐号数千个。

　　根据专家的介绍，类似于希拉里邮件门的事件，在中国也曾经发生过：某重要部委的邮箱系统长期被美国方向的黑客控制，幸好最终被安全人员发现，否则将会造成更大的损失。

　　2016年初，美国最大的有线电视公司时代华纳突然被爆出32万用户邮箱泄露。这件事情的蹊跷之处在于：时代华纳并不认为自己的服务器存在漏洞。

　　2016年7月，日本旅游业巨头 JTB 旅行社被黑客入侵。官方声称攻击的来源是一次有针对性的电子邮件钓鱼行动：一位公司的员工打开了一个全日空公司的旅行预定要求。这个看起来很正常的邮件，附带了一种 Word 文档，其中被植入了名为“PlugX”的极其隐蔽的木马。从这个附件开始，黑客的触角逐步渗透到公司的数据服务器。

　　这些泄露事件说明一个让人绝望的事实，那就是即使作为个人很好地保护了自己的密码，也难免被服务商这样的“猪队友”出卖。

　　根据 360 互联网安全中心的预测，2017年中国邮箱安全事件会大规模爆发，以下是预测数据：

　　看来，邮箱泄露有一万种姿势。难道我们束手无策吗？裴智勇博士认为，在企业邮箱里推广双因子认证，是目前来看有效的办法。

　　所谓双因子认证，简单来说就是除了密码之外，再加入额外的一个认证因素。这个认证因素可以是手机短信，也可以是 App 上的动态密码口令。

　　这种情况下， 即使密码发生了泄露，黑客也无法轻易地登录受害者邮箱。根据这个思路，360 也开发出了一套企业邮箱安全产品。如果你是一位重视企业邮箱安全的 CEO，也许愿意尝试一下。