FXL 黑客

三 少爷

现在的黑客比以前的虽说不上有多厉害，但总能偶尔给点惊喜。近一、两年三少遇到员工的O365的邮箱给黑了，然后拼命诈骗邮件，并且发来信全收不到了。原来黑客还设置了收信规则，用上了通配符将邮信全转发到了已删邮件。

曾想过设置双重验证，但系统还没升级完全，local AD 和Azure AD混着用比较难实验，如果每次登陆用手机验证员工一定不会喜欢。正在考虑中昨天就收到小的学校副校长的电邮说有文件在链接里共享。点击一看得填入三少Google的用户名和密码。这事三少碰多了，虽然复查了一下看邮件属性的确是来自副校长邮箱，但仍是没敢填上自已的个人信息。

事实证明三小的小心是正确的。今天就收到了副校长的来信说很多家长昨天反映这事，并且副校长确定邮箱是被黑了。因为我这Google account是连到三少游戏充值有我信用卡信息，搞得我都想将那信用卡资料从Google里给删了。

今天你被黑了吗？

老北

黑客没遇到过

不过时不时接到电话，有人操着我听的稀里糊涂的三哥的口音告诉我：你的电脑系统有安全漏洞，要在俺的指导下进行修复……

靠！这也太不敬业了吧

众所周知，老北穷困潦倒的，哪有钱买电脑啊！！！

本想讥讽他一顿，再一寻思：

说不定他真是三哥呢，和三少、三姑都姓三，搞不好是本家

算了，看着三少姑的面子上

默默地把电话挂了……

笑看人生 ^O^

这个欺诈邮件
很容易让人上当

dichn

MFA 是必须的。。。有方便一般来说就没安全，除非上人脸识别那种，又方便又安全

119900

不明觉厉。。。

Rim

一直收到垃圾邮件怎么办....

Deardevil

这些以别人邮箱发出的邮件，不一定就是别人的邮箱被黑了，也可能是别人冒用的他人的email address，但使用了其他3rd party email server。SPF，DKIM，DMARC在服务器端设置好起码能把这部分spams都滤掉。接下来再解决账户安全问题。

salesonline

这都是老生常谈啦，社交攻击考察的是受害者的IQ

jasonxu85

有时候用户有意无意地把商业上的邮箱用于私人注册。看上去LZ是做学校的，很多学生喜欢用学校邮箱注册一些游戏论坛什么的，他们使用就成为一个漏洞，而且很多人也是用单一简单密码在于大部分地方的登录。如果是O365服务且设置在公有云上，我觉得因为是依赖微软的服务下，被技术黑的几率应该不高，毕竟微软泄露就不是小事了！应该是因为某些原因登录信息（被）泄露了。如果登录信息被泄露了就修改邮箱规则等等就不奇怪了。

如果还有Local AD，你应该也只是AD用户同步到O365吧！！你应该可以单单让已经搬到Cloud上的东西用双重认证，例如OWA，但是对于学校这种环境使用，是否不太方便呢？毕竟学校的学生是否用双重认证不太方便呢？

我一般就是停留鼠标在链接上或者复制链接放到浏览器，看看那链接是否可以可以，因为很多时候那些Phishing 的邮件上面的内容跟链接地址有出入的，例如Apple发来账号认证，链接却去了Google，这些就小心了。因为学校一般发通知，家长也不一定有能力分辨真通知还是Phishing，只能作为网管的尽早发现发群通知了。

三 少爷

老北 发表于 2022-7-28 18:20
黑客没遇到过

不过时不时接到电话，有人操着我听的稀里糊涂的三哥的口音告诉我：你的电脑系统有安全漏洞， ...

还真别说，你这一说三少才刚接了个诈骗电话。“铃铃铃。。你有一份中国大使馆寄来的文件。。”

那天拿回我放弃维修的手机，竟然发现我所有的邮件、银行的app、网页记录、三星笔记等等全都还在！！那天时间紧我没自已动手，但已亲眼见那V家客服选择了重置手机的选项，并且是我亲自按确认键的。我那些viber内的通话纪录和一些。。甚不让人全看光了！！！现在我很是后悔和tang ti。。

三 少爷

dichn 发表于 2022-7-28 20:41
MFA 是必须的。。。有方便一般来说就没安全，除非上人脸识别那种，又方便又安全 ...

人脸识别好。就是当遇上些共享帐户时不适用。还有得要动用员工私人手机，这在商用里行不通的。

三 少爷

Rim 发表于 2022-7-29 09:49
一直收到垃圾邮件怎么办....

设置收件规则，来一封加一封进黑名单。还可以设置关键字自动过滤处理，手段多着呢！

三 少爷

匿名者 发表于 2022-7-29 09:52
有没有黑客能往我银行余额里多加几个零？我吃不起麦当劳了

你这样等这机率比乐透还少守株待兔还不如去麦当劳找个富婆来得更直接呢！：）

三 少爷

Deardevil 发表于 2022-7-29 10:14
这些以别人邮箱发出的邮件，不一定就是别人的邮箱被黑了，也可能是别人冒用的他人的email address，但使用 ...

这虽是有可能，但从邮件属性可基本看出来到实是不是这邮件发的。这点孩子的副校长已confirm了。

三 少爷

salesonline 发表于 2022-7-29 10:20
这都是老生常谈啦，社交攻击考察的是受害者的IQ

这情况有点特殊。因为是孩子的副校长发来的很多家长不会忽略。相信中招的人不少。

三 少爷

jasonxu85 发表于 2022-7-29 10:44
有时候用户有意无意地把商业上的邮箱用于私人注册。看上去LZ是做学校的，很多学生喜欢用学校邮箱注册一些游 ...

我不是做学校的，但让你说中了一部份也与教育有所关联。哈哈。。

双重认证得从长计议，毕竟太麻烦了，实用性和可行性似乎不高。我也不知到底他们是怎样泄露的密码说真的，毕竟他们不是爱玩游戏或幼稚的学生。我猜极有可能是从他们私人的Google帐户先失的守，然后黑客顺藤摸瓜就一路黑上来了。

Deardevil

三 少爷 发表于 2022-7-29 12:00
这虽是有可能，但从邮件属性可基本看出来到实是不是这邮件发的。这点孩子的副校长已confirm了。 ...

你查email的heading肯定是被冒用的email address不假，但是你得看mail server是不是校长的mail server啊，如果是被黑，那么这个phishing email肯定会在校长的sent folder里，也会在学校的mailserver上，反之，如果只是用其他的mail server单纯冒用了邮件地址，那么是自己的邮箱不假，但是是别人从别的地方发的，和自己的mail server没有关系，当然自己也就没有责任了。

如果是前者，那么得从security level做调整，如果是后者，只需要在dns里加一些records，来滤掉这些unauthorized connection就可以了。

一般来说，除非o365用户密码被泄露，要不单纯的被黑客破解后进入基本是不可能的，哪怕你的密码不是那么复杂。

补充内容 (2022-7-29 12:13):
打个比方，前者是有人偷了你的身份证去买票，后者是别人单纯的冒用了你的名字而已去买票，因为卖票的不去做审核就放行，才造成的问题。

三 少爷

Deardevil 发表于 2022-7-29 12:10
你查email的heading肯定是被冒用的email address不假，但是你得看mail server是不是校长的mail server啊 ...

因为这服务器不是我们的是不是对方校长的我不知道。不过你说这点倒真的make sense. 其实看邮件属性有一招很实用能辨真假的，就是看x-return的地址。这招三少是从赛门铁技术支持哪里学来的。：）

Deardevil

三 少爷 发表于 2022-7-29 12:15
因为这服务器不是我们的是不是对方校长的我不知道。不过你说这点倒真的make sense. 其实看邮件属性有一招 ...

看一下域名的mx records，对比一下邮件heading里的看看match不match就行了呗，哈哈哈.
nslookup
set type=mx
输入域名不带www.
这是原始mx，任何被冒用的phishing邮件，view source，里面肯定能看出端倪

三 少爷

Deardevil 发表于 2022-7-29 12:23
看一下域名的mx records，对比一下邮件heading里的看看match不match就行了呗，哈哈哈.
nslookup
set type ...

自已打命令啊。我是直接上mxtoolbox.com。哈哈。。

你们现在用什么邮件过滤器/服务？：）

Deardevil

三 少爷 发表于 2022-7-29 12:38
自已打命令啊。我是直接上mxtoolbox.com。哈哈。。

你们现在用什么邮件过滤器/服务？：）

我们就o365，然后mail server那边生成一下SPF之类的，确保没人能冒用我们的，导入到DNS，没别的了，
至于收的spam，那没办法，过滤什么的全指望MS的filter了，哈哈。不过如果发现是客户的邮箱地址发phshing，一般会建议他们联系他们的IT完善一下

三 少爷

Deardevil 发表于 2022-7-29 12:43
我们就o365，然后mail server那边生成一下SPF之类的，确保没人能冒用我们的，导入到DNS，没别的了，
至于 ...

我们一样。由刚开始的Exchange 2k > 2007 > 2013 到现在的O365，过滤软件从最开始外挂免费的可用文本文件打开手动添加到外判的spam gateway到现在“祼邮“，技术上每一次进步带来的便利还是可亲身感受得到的。：）

Deardevil

三 少爷 发表于 2022-7-29 12:55
我们一样。由刚开始的Exchange 2k > 2007 > 2013 到现在的O365，过滤软件从最开始外挂免费的可用文本文件 ...

是啊，现在这些config省了很多事，不像以前要随时待命补漏洞，现在完全依靠MS的技术就够了，确实比以前轻松了许多

妙隆

三 少爷 发表于 2022-7-29 11:51
还真别说，你这一说三少才刚接了个诈骗电话。“铃铃铃。。你有一份中国大使馆寄来的文件。。”

那天拿回 ...

一早上收到2次电话了，懒着和他们唠了

dhd190

三少家小孩也在Murray's bay ？

三 少爷

妙隆 发表于 2022-7-29 13:08
一早上收到2次电话了，懒着和他们唠了

我也是。一听到就挂。

老北

三 少爷 发表于 2022-7-29 07:51
还真别说，你这一说三少才刚接了个诈骗电话。“铃铃铃。。你有一份中国大使馆寄来的文件。。”

那天拿回 ...

坐等网上流传哪些~~~~

三 少爷

dhd190 发表于 2022-7-29 13:18
三少家小孩也在Murray's bay ？

。。。

小声点。不告诉你。

三 少爷

老北 发表于 2022-7-29 13:25
坐等网上流传哪些~~~~

NND谁敢传我告谁！！