当您收到“来自您自己”的勒索电子邮件时不要惊慌

概述

近日，安天CERT（安全研究与应急响应中心）收到客户反映，他们收到了来自自己邮箱的威胁邮件，勒索比特币。 经分析发现，这是10月以来新出现的诈骗手段。

由于邮件标题中的发件人地址可以任意伪造[1]，诈骗者将发件人的邮箱伪造为受害人的收件邮箱，让受害人收到一封“来自自己的邮件”，让受害人相信自己的邮箱是“控制下”; 之后，骗子进一步欺骗受害人，称其设备也被安装了木马并被监视，恐吓受害人将指定金额转入指定的比特币钱包，以消灾除害。

互联网上有大量用户报告说他们收到了使用这种方法的欺诈性电子邮件[2]。 查看骗子预留的比特币钱包，发现不少受害人已经上当受骗，仍有受害人在向骗子汇款。 虚拟货币总价值数万美元。

目前流行的此类邮件纯属威胁性诈骗邮件，可以忽略直接删除，受害者的邮箱和机器没有被入侵和控制。

欺诈邮件事件分析

根据用户举报的相关诈骗邮件，此类邮件的标题为：“受害者邮箱”+“被黑”。 邮件正文的内容主要包括以下几个方面：

1）从“暗网”（waite23/kurtis09/hugibert19/murry02等虚假ID）自称黑客，并警告受害者邮箱账号已被盗。 不信请核实收件人是不是受害人本人。

2）说明受害者机器感染了自己注入的木马，并被长期监控。 用户的在线记录和本地数据可以随意访问，受害者的密码修改也不再有效。

3）只要在48小时内将指定的金额（例如500美元）汇入指定的比特币地址，木马就会被删除，攻击就会停止。

4）有的会继续发邮件，增加数量。

图1. 此类欺诈邮件的典型案例，用户收到“来自自己的邮件”

这是典型的性勒索骗局，是一种常见的网络诈骗类型。 骗子在不侵入受害人邮箱和设备的情况下，利用“出示受害人泄露的账户密码”等一系列“证据”恐吓受害人，称其邮箱被盗，设备实际被黑，然后声称拥有在受害人访问成人网站等不当内容时，对受害人的屏幕和摄像头进行录像，如果受害人不向诈骗者指定的比特币钱包付款，就会将这些内容公之于众。

图 2. 诈骗者承诺在 48 小时内付款以停止侵犯受害者隐私

通过让受害人收到一封“来自自己的邮件”来证明受害人邮箱被黑的诈骗手段是最近才出现的。 普通网民如果不知道邮件的信头是可以任意伪造的，就很容易被骗子蒙骗。

在我们获取的数十封邮件样本中，骗子选择的收件地址均为比特币钱包“1MN7A7QqQaAVoxV4zdjdrnEHXmjhzcQ4Bq”。 经查询，自2018年10月13日以来，收款地址共收到受害人汇出的比特币1.61651067枚。 按照目前的兑换价格，金额超过10000美元。 截至目前，受害人仍在汇款。

图3 骗子预留的比特币地址收到骗子的大量汇款

由于用于邮件发送的SMTP协议的头部可以任意构造，一些邮件服务商在转发邮件时不进行相互认证接收比特币的地址，所以“from:”字段可以任意修改，邮件中会显示任何发件人. 然而，对于大多数主流电子邮件服务提供商（ESP）而言，此类电子邮件会被反垃圾邮件功能主动拦截和过滤。 市面上常见的邮箱提供商都支持对此类垃圾邮件的过滤功能，包括直接拒绝接收邮件。

客户需要检查所使用的邮件系统是否配置了垃圾邮件过滤器或需要更换更安全的邮件系统。

此外，根据BITCOINWHOSWHO提供的数据[3]：自2018年9月以来，来自42个国家的大量受害者声称通过各种方式收到了类似Sextortion的诈骗邮件。 报道称，共收集到621个比特币钱包地址，骗子通过这种勒索方式共收受了540.27603866比特币的赃款，给受害人带来了巨大的经济损失。

总结

在这一系列的勒索邮件中，勒索者实际上是伪造了邮件的头部数据，让受害人收到一封“来自自己的邮件”接收比特币的地址，从而让被勒索者相信自己的邮箱被入侵了。 但事实上，用户的邮箱账号和机器并没有被骗子入侵和控制，所以绝对禁止私下向骗子汇款，以免上当受骗。

尽管此类勒索并非由电子邮件黑客造成，但电子邮件仍然是最易受攻击的切入点。 我们向电子邮件用户和电子邮件系统维护人员提供以下建议：

用户邮件安全防护可参考以下防范建议：

1、提高个人安全意识。 收发邮件时，确认来源是否可靠。 不要随意点击或复制邮件中的网址，不要下载来源不明的附件。 建议不要打开陌生人的邮件。

2、尽量不要在不受控制的环境下登录邮件，比如网吧的电脑或者别人的电脑。

3、确保收发邮件和登录终端系统（PC、手机、PAD等）的环境安全，及时更新和修补漏洞，安装终端安全防护软件并升级启用监控及时确保发送和接收电子邮件的环境安全。

4、邮箱密码必须使用强密码（例如：密码长度大于12个字符，且必须为数字、英文大小写字母、特殊字符的组合），并定期更改密码； 密码不得与其他服务混合使用。

5、如果使用邮件客户端，请确保客户端安装程序的安全，并根据邮件服务器支持的加密链接方式（如SSL）配置邮件收发，而不是使用明文协议发送并接收邮件； 对于邮件客户端数据文件所在的卷，建议使用卷加密（如Bitlocker）。

6、如果使用浏览器收发邮件，需要使用HTTPS协议登录邮箱，不能使用HTTP。

7.根据组织规定规范邮件签名。

8、不要随意传播邮箱地址，减少攻击者找到攻击入口的可能性； 如果必须公开邮箱地址，可以将@符号替换成其他符号，避免被爬虫爬取识别，成为群发垃圾邮件和攻击邮件的目标。

保障企业邮件系统安全的系统性任务很多。 这里我们给出一些参考文件：

1、配置安全管理和使用邮件策略：包括邮件权限、收发用户身份设置、邮件内容限制、邮件附件要求、邮件传输协议安全、异常邮件监控、用户备份归档等，详见到《信息安全策略制定指南-L9邮件安全策略》。

2、确保邮件系统所在网络的安全：包括网络结构安全、入侵防御和安全审计等，参考《可管理网络计划V4.0（NSA/IAD）》[4]。

3、保证邮件系统的软硬件安全：包括服务器、操作系统、数据库的安全策略，参见DISA安全技术实施指南STIG[5]。

4、确保邮件系统的物理和管理安全：包括访问控制、管理制度等，详见《YD/T 3161-2016邮件系统安全防护要求》。

附录：参考链接

[1]

[2]

[3]

[4]

[5]#