如何识别网络钓鱼电子邮件来源于一个受损的帐户或一个受损的服务器？

Question

我们有一个鲸鱼网络钓鱼的案例，发送者来自内部(我们正在使用Zimbra电子邮件服务为一些特定的用户组)。粗略的调查表明，这一帐户可能已受到损害。

我在这里担心的是，黑客是否会通过服务器接管这个帐户？我认为不是，因为电子邮件与特定的电子邮件帐户相关联。

期待得到您的支持。

Answer 1

受损帐户通常用于内部升级，例如从内部发起新的网络钓鱼攻击，以绕过垃圾邮件检测或用户之间的滥用信任(他们也可以访问受损帐户的过去的电子邮件)。

在大多数部署中，内部伪造是微不足道的；您可以以CEO的身份将邮件发送给公司中的任何人(或外部)，它将通过所有的欺骗检测测试。这意味着您必须查看Received头，以确定消息实际来自哪个主机。(如果SMTP-AUTH在内部启用，则应该在标头的某个位置提供经过身份验证的用户名，通常是由本地SMTP服务器添加的Received头。)

黑客是否可以通过服务器接管这个帐户？

你不是已经得出结论说“这个帐户可能已经被泄露了”吗？如果是这样，它已经被接管了。尽快更改该用户的密码，并对该用户的所有登录和电子邮件进行审核，至少在您认为该密码被首次泄露72小时之前进行(除非您有明确的折衷时间，在这种情况下可以使用该密码)。

也许我不明白你的问题。如果您询问是否存在被利用的服务器漏洞，并且该帐户可能是以这种方式被破坏的，则必须为搜索为CVEs提供与所有相关服务器软件相关的信息。如果您定期将您的软件更新到最新的补丁版本，这是一个较低的风险，但您仍然应该检查。