- 网络安全
发生事故时的资产管理和联系方式,地方政府安全门户的新发展
我们将向您发送此信息,以便您可以针对欺诈性电子邮件活动采取您认为适当的验证、遏制和根除措施。
带有与高风险威胁相关的欺诈内容的群发邮件正在发生。 这些电子邮件与称为 Emotet 的恶意软件有关。 除了盗用信息并通过电子邮件传播之外,Emotet 还充当特洛伊木马,为其他参与者打开大门。 反过来,这些人通常会部署恶意软件进行间谍活动、入侵组织以及加密信息,以要求经济救助。
Emotet 至少从 2017 年 2019 月起通过邮件以波浪形式分发。该活动已于 15 年第二季度停止,但从 XNUMX 月 XNUMX 日起恢复特别活跃并具有全球影响力,这促使了该声明。 然而,这是一个持续的威胁,必须寻求有效的措施来应对这种威胁,这些措施可以长期保持活跃。
导致这些活动非常成功的因素之一是重复使用以前致力于获得用户信任的电子邮件线程。 在许多情况下,其中一个身份被冒充(至少是其中一个身份的名称),并且通过宏附加了带有恶意内容的办公文档。 恶意电子邮件通常是简短的文本和模糊的术语,似乎是对先前消息的回应。 “您需要的材料待确认”或“新模板”是其内容的真实示例。 邮件的来源通常显示给具有两个地址的邮件客户端,后者是邮件的发件人,收件人通常不知道。
作为加泰罗尼亚信息安全中心 (CESICAT),我们建议采取以下措施来应对这种威胁:
- 用户意识:警惕来自未知或可疑地址的附件。 如果消息有两个不同的地址作为源,请小心
- 默认禁用宏
- 更新杀毒软件
- 监控和拒绝从防火墙到外部位置端口 447、449 和 20 的出站通信
- 检查被认为最关键的信息的最新备份是否完整并确保它处于脱机状态
另一方面,我们还建议采用以下附加措施:
- 增加接收邮件保护措施:
- 使用宏(包括 excel)评估使用 Microsoft Office 文件阻止这些电子邮件的实现
- 阻止包含与 Emotet 相关的恶意 URL 的电子邮件。
- 使用带有更新签名的防病毒软件扫描收到的邮件
- 如果可能,请在动态行为分析系统(沙箱)中分析收到的邮件。
- 网络分段
- 非必要时禁用 RDP
- 用户级分段:建立用户无法从任何计算机访问的协议,以避免在此凭据被泄露的情况下,有可能访问相关区域的任何机器。
- 审查权限和更改凭据
- 在管理级别审查规则配置
- 暂时避免执行程序和代码
如果发生事故,请联系 CESICAT-CERT cert@cesicat.cat
参考: