Entry № 244
邮件会话劫持(Conversation Hijacking)
邮件会话劫持(Conversation Hijacking) 是什么?
邮件会话劫持(Conversation Hijacking)攻击者在已建立信任的现有邮件线程中插入恶意回复,以投递恶意软件或欺诈指令的攻击。
在会话劫持中,攻击者先通过凭据窃取、账户接管或合作伙伴泄露入侵某个邮箱。随后阅读现有邮件线程,并在其中回复,继承合法发件人的信任、主题和签名。被注入的邮件可能附带恶意软件(Emotet 利用此手法投递 Trickbot)、商务邮件诈骗(BEC)中常见的付款变更请求,或附带凭据窃取链接的后续邮件。由于回复出现在已有的对话中,受害者和传统过滤器都会降低警惕。防御措施包括 DMARC、邮件账户启用 MFA、回复模式的异常检测、外部发件人标签,以及对任何付款变更进行带外确认。
● 示例
- 01
Emotet 2018-2021:在进行中的邮件线程中插入恶意回复,投递武器化的 Office 文档。
- 02
BEC 团伙劫持供应商邮箱,在线程中段插入伪造的更新银行账户的回复。
● 常见问题
邮件会话劫持(Conversation Hijacking) 是什么?
攻击者在已建立信任的现有邮件线程中插入恶意回复,以投递恶意软件或欺诈指令的攻击。 它属于网络安全的 攻击与威胁 分类。
邮件会话劫持(Conversation Hijacking) 是什么意思?
攻击者在已建立信任的现有邮件线程中插入恶意回复,以投递恶意软件或欺诈指令的攻击。
如何防御 邮件会话劫持(Conversation Hijacking)?
针对 邮件会话劫持(Conversation Hijacking) 的防御通常结合技术控制与运营实践,详见上方完整定义。
邮件会话劫持(Conversation Hijacking) 还有哪些其他名称?
常见的别称包括: 邮件线程劫持, 回复链攻击。