七個(gè)郵箱泄漏“慘案”給我們的啟示

你還在郵箱上使用初戀時(shí)就在用的密碼嗎？

你的郵箱密碼和其他平臺(tái)的登錄密碼一樣嗎？

你有沒(méi)有毫不猶豫地點(diǎn)擊過(guò)郵件里的鏈接呢？

你的郵箱密碼是不是簡(jiǎn)單到一年級(jí)小朋友的知識(shí)量就能猜透？

如果你對(duì)以上任何一個(gè)問(wèn)題的答案是“Yes”，那么你極有可能已經(jīng)成為郵箱被泄露的一員了。如果你恰好是個(gè)名人，或者是企業(yè)的管理層，那么郵箱泄露可能導(dǎo)致的結(jié)果會(huì)超乎你的想象。

最近，360 互聯(lián)網(wǎng)安全中心對(duì)外發(fā)布預(yù)警：郵箱泄露將會(huì)成為2017年最嚴(yán)重的威脅。

雖說(shuō)郵箱幾乎和互聯(lián)網(wǎng)同時(shí)誕生，是互聯(lián)網(wǎng)上的老干部了。但是有很多證據(jù)表明，這個(gè)老干部遇到了新問(wèn)題。黑客有一萬(wàn)種方法黑掉一個(gè)郵箱。而以這個(gè)郵箱為入口，黑客可以掌握你的一切。

每個(gè)慘案背后，都揭示了一個(gè)血淋淋的教訓(xùn)。

貝克漢姆男神形象崩塌——郵箱里有你的所有“黑歷史”

貝克漢姆被稱為這個(gè)世界上高、富、帥集成度最高的人。這個(gè)公眾眼中勤奮刻苦熱衷慈善樂(lè)善好施的好丈夫好父親是為數(shù)不多的正能量范本。

不巧，他的郵箱密碼被黑客拿到了。英國(guó)人對(duì)郵箱的依賴程度很高，很多私人的談話都會(huì)通過(guò)郵件發(fā)送。

在給友人發(fā)的私人郵件里，貝克漢姆解放了自己：郵件里不僅有他的私生活記錄，還有他不經(jīng)意間吐槽挖苦其他明星的文字。最要命的是，人們發(fā)現(xiàn)他熱衷于慈善的原因，居然是覬覦“爵士”的頭銜。

看看小貝都說(shuō)了神馬吧：

• 得知自己和爵士頭銜擦肩而過(guò)時(shí)，小貝寫了一封很憤怒的郵件，表示不滿意這個(gè)結(jié)果，說(shuō)提名他獲勛章的委員會(huì)老大是“毫無(wú)欣賞力的傻X （unappreciative c****）

• 在一封給他公關(guān)經(jīng)理Simon Oliveira的郵件中抱怨道：“Katherine Jenkins拿OBE（官佐勛章）？憑啥？她只會(huì)在英式橄欖球比賽上唱唱歌，慰問(wèn)一下軍隊(duì)，還吸毒嗑藥，這尼瑪就是個(gè)笑話！”

• 小貝甚至還對(duì)他平日里極力討好的委員會(huì)爆粗：“他們就是一群婊，我說(shuō)的沒(méi)錯(cuò)！這些榮譽(yù)到底誰(shuí)說(shuō)了算？這真尼瑪丟人，如果我是美國(guó)人，十年前我就拿到這個(gè)了！”

• 對(duì)于慈善基金，小貝在私人郵件里寫道：“把幾百萬(wàn)投到慈善基金，就像把我自己的錢給出去一樣。如果沒(méi)有基金，那錢本該是我的。這尼瑪可是我自己的錢！”
  

郵箱泄露讓全世界認(rèn)識(shí)了一個(gè)真的貝克漢姆。雖說(shuō)貝克漢姆已報(bào)警，辯稱有人改動(dòng)了他的郵件，但目測(cè)然并卵。

先不談黑客如何黑進(jìn)他的郵箱，單單郵件泄露這一件事，就是貝克漢姆不能承受之重。因?yàn)?，就連你自己都忘記說(shuō)過(guò)了什么，但是郵件卻幫你準(zhǔn)確無(wú)誤地記錄著。人非圣賢，誰(shuí)都會(huì)有搬不上臺(tái)面的算計(jì)。而這些黑材料永遠(yuǎn)是埋在你身邊的定時(shí)炸彈。

這件事，是細(xì)思極恐的。你的聊天記錄其實(shí)就是你的“黑歷史”。試想如果你的微信記錄被黑客公布于天下，也許就連最好的朋友看到你背地里如何議論他，都要和你絕交。

不過(guò)，根據(jù)裴智勇的調(diào)查，名人郵箱泄露雖然畫風(fēng)慘烈，但卻不是郵箱泄露的重點(diǎn)。在所有的郵件攻擊中，針對(duì)名人的只占2%的比例，而排名前三的分別為：大中企業(yè) 35%、高等教育機(jī)構(gòu)30%、政府機(jī)構(gòu)22%。

【郵箱攻擊中，各個(gè)目標(biāo)占比】

這么說(shuō)來(lái)，企業(yè)和政府機(jī)構(gòu)才是黑客們的主要“獵物”。這并不難理解，因?yàn)檎魏徒?jīng)濟(jì)往往對(duì)這個(gè)世界的影響更大，而黑客們往往也想“干一票大的”。

希拉里競(jìng)選團(tuán)隊(duì)郵箱被黑過(guò)程——再聰明的人也會(huì)上當(dāng)

2016年，黑客們真的干過(guò)一票大的——黑掉了民主黨競(jìng)選總部郵箱。這件事情對(duì)世界造成的改變已經(jīng)不能用金錢來(lái)衡量了。大批外泄的競(jìng)選郵件顯示，希拉里表面上溫順和善，背地里正準(zhǔn)備給競(jìng)爭(zhēng)對(duì)手按個(gè)放血。

那么，究竟希拉里的郵件是怎樣被泄露的呢？

說(shuō)來(lái)非常簡(jiǎn)單，黑客偽裝成 Google 的官方客服，給競(jìng)選團(tuán)隊(duì)成員威廉·萊因哈特（William Rinehart）發(fā)了一封釣魚郵件。郵件內(nèi)容也很簡(jiǎn)單：

有人已經(jīng)破解了你的郵箱密碼，請(qǐng)盡快登錄修改。

就這樣，黑客不費(fèi)吹灰之力就拿到了團(tuán)隊(duì)核心成員的郵箱密碼，進(jìn)而利用這個(gè)郵箱在郵件系統(tǒng)內(nèi)部擴(kuò)大攻擊，最終完全控制了郵件服務(wù)器。

民主黨的精選團(tuán)隊(duì)，智商應(yīng)該是超群的。然而就是這樣一群人精卻被簡(jiǎn)單的把戲忽悠得團(tuán)團(tuán)轉(zhuǎn)。問(wèn)題在于，這些人缺乏基礎(chǔ)的郵箱安全意識(shí)。

而在釣魚郵件方面，黑客們可是用盡了自己的智慧。

你現(xiàn)在回想一下，自己有沒(méi)有收到過(guò)郵箱服務(wù)商或者管理員發(fā)來(lái)的“官方郵件”，提示你安全性升級(jí)，或者郵箱擴(kuò)容，或者郵箱遷移。這些郵件非常逼真，有的還帶上了逼真的 LOGO，但無(wú)一例外它們都需要你進(jìn)行密碼登錄驗(yàn)證。而一旦你輸入了密碼，就等于把自己的郵箱拱手讓人。

【偽裝成各種姿勢(shì)的針對(duì)企業(yè)員工的釣魚郵件】

如果黑客的僅僅停留在郵件系統(tǒng)，不那么容易引起直接的資金損失。但黑客絕不會(huì)老老實(shí)實(shí)呆在原地。

國(guó)企因?yàn)猷]箱泄露而被盜取大量資金——郵箱僅僅是跳板，直通你的身家性命

有人會(huì)覺(jué)得在中國(guó)郵箱并不太流行。艾瑞咨詢做了一個(gè)調(diào)查，結(jié)論是中國(guó)人使用的企業(yè)郵箱服務(wù)正在劇烈增長(zhǎng)。2009年使用外包企業(yè)郵箱的用戶只有1275萬(wàn)家，而預(yù)計(jì)2017年，這個(gè)數(shù)字是1.35億。

越來(lái)越多的人使用企業(yè)郵箱，而人們對(duì)于郵箱安全的概念幾乎為零，這使得郵箱成為了一個(gè)絕好的進(jìn)攻跳板。

這里有一個(gè)血淋淋的中國(guó)案例。

一個(gè)大型國(guó)企的財(cái)務(wù)人員收到經(jīng)理的郵件，示意他應(yīng)該給 A 公司結(jié)款，財(cái)務(wù)人員經(jīng)過(guò)審核發(fā)現(xiàn)，確實(shí)到了結(jié)款的時(shí)間，就通過(guò)財(cái)務(wù)系統(tǒng)把錢轉(zhuǎn)給了“A 公司”。

然而，過(guò)了幾個(gè)月，真正的 A 公司找到這家企業(yè)，要求結(jié)款。這時(shí)公司才發(fā)現(xiàn)，原來(lái)之前的幾百萬(wàn)根本沒(méi)有匯進(jìn) A 公司的賬戶，而是進(jìn)了黑客的腰包。

這里有一些難以理解的問(wèn)題：企業(yè)資源系統(tǒng)（ERP）和辦公系統(tǒng)（OA）是相互獨(dú)立的，企業(yè)資源系統(tǒng)不和互聯(lián)網(wǎng)連接，而辦公系統(tǒng)和互聯(lián)網(wǎng)連接。如此推斷，黑客應(yīng)該無(wú)法接觸到財(cái)務(wù)系統(tǒng)。

經(jīng)過(guò)調(diào)查，故事的秘密在于：黑客利用釣魚郵件攻擊了總經(jīng)理的辦公系統(tǒng)，而總經(jīng)理用于登錄辦公系統(tǒng)和企業(yè)資源系統(tǒng)的密碼是相同的，于是黑客順利跳入了財(cái)務(wù)系統(tǒng)，不僅偽造總經(jīng)理向財(cái)務(wù)發(fā)指示，還在財(cái)務(wù)系統(tǒng)里直接更改了收款企業(yè)的賬號(hào)。