MailSecLab电子邮件安全热点分析

本周（年7月3日~7日），网际思安麦赛安全实验室(MailSecLab)观察到大量新增的“薪资调整”类钓鱼邮件攻击，并做了详细的风险特征、攻击溯源等技术研究与分析，请各企事业单位及时做好相关的防护。

概要：“薪资调整”类钓鱼邮件激增

本周（年7月3日~7日），网际思安麦赛安全实验室(MailSecLab)观察到大量新增的“薪资调整”类钓鱼邮件攻击，并做了详细的风险特征、攻击溯源等技术研究与分析，请各企事业单位及时做好相关的防护。

热点描述：

关于此批“薪资调整”类钓鱼邮件的典型样本邮件，如下图所示：

图1.关于薪资调整通知的钓鱼邮件

该邮件通过伪造“薪资调整”通知，诱导员工点击邮件正文中URL超链接，从而访问精心构造的钓鱼网站。当员工输入其邮箱帐号和密码后，攻击者将获得该私人账户信息，并可利用该信息成功登陆员工的私人邮件账户。

图2.点击超链接后访问的钓鱼网站

图3.记录帐号信息，并模拟系统繁忙

专家分析：

MailSecLab的技术专家从源IP、URL链接、邮件头、邮件内容等方面，对此邮件的风险特征进行了详尽的技术分析。

l邮件头分析：X-Mailer字段

此类风险邮件的头部包含的“X-Mailer”字段值为“Supmailer38.1.2”。

图4.邮件头部X-Mailer字段展示

X-Mailer字段表明了攻击者通过Supmailer软件的38.1.2版本来发送钓鱼邮件。Supmailer是由一家德国公司研发的，用于批量创建和发送广告邮件的软件。该软件的官方网站是“