邮件会话劫持(Conversation Hijacking)
邮件会话劫持(Conversation Hijacking) 是什么?
邮件会话劫持(Conversation Hijacking)攻击者在已建立信任的现有邮件线程中插入恶意回复,以投递恶意软件或欺诈指令的攻击。
在会话劫持中,攻击者先通过凭据窃取、账户接管或合作伙伴泄露入侵某个邮箱。随后阅读现有邮件线程,并在其中回复,继承合法发件人的信任、主题和签名。被注入的邮件可能附带恶意软件(Emotet 利用此手法投递 Trickbot)、商务邮件诈骗(BEC)中常见的付款变更请求,或附带凭据窃取链接的后续邮件。由于回复出现在已有的对话中,受害者和传统过滤器都会降低警惕。防御措施包括 DMARC、邮件账户启用 MFA、回复模式的异常检测、外部发件人标签,以及对任何付款变更进行带外确认。
● 示例
- 01
Emotet 2018-2021:在进行中的邮件线程中插入恶意回复,投递武器化的 Office 文档。
- 02
BEC 团伙劫持供应商邮箱,在线程中段插入伪造的更新银行账户的回复。
● 常见问题
邮件会话劫持(Conversation Hijacking) 是什么?
攻击者在已建立信任的现有邮件线程中插入恶意回复,以投递恶意软件或欺诈指令的攻击。 它属于网络安全的 攻击与威胁 分类。
邮件会话劫持(Conversation Hijacking) 是什么意思?
攻击者在已建立信任的现有邮件线程中插入恶意回复,以投递恶意软件或欺诈指令的攻击。
邮件会话劫持(Conversation Hijacking) 是如何工作的?
在会话劫持中,攻击者先通过凭据窃取、账户接管或合作伙伴泄露入侵某个邮箱。随后阅读现有邮件线程,并在其中回复,继承合法发件人的信任、主题和签名。被注入的邮件可能附带恶意软件(Emotet 利用此手法投递 Trickbot)、商务邮件诈骗(BEC)中常见的付款变更请求,或附带凭据窃取链接的后续邮件。由于回复出现在已有的对话中,受害者和传统过滤器都会降低警惕。防御措施包括 DMARC、邮件账户启用 MFA、回复模式的异常检测、外部发件人标签,以及对任何付款变更进行带外确认。
如何防御 邮件会话劫持(Conversation Hijacking)?
针对 邮件会话劫持(Conversation Hijacking) 的防御通常结合技术控制与运营实践,详见上方完整定义。
邮件会话劫持(Conversation Hijacking) 还有哪些其他名称?
常见的别称包括: 邮件线程劫持, 回复链攻击。
● 相关术语
- attacks№ 135
商业邮件诈骗
针对性诈骗:攻击者冒充或接管企业邮箱,诱使员工汇款、修改付款信息或发送敏感数据。
- attacks№ 821
网络钓鱼
一种社会工程攻击,攻击者冒充可信方,诱骗受害者泄露凭据、转账或运行恶意软件。
- attacks№ 140
回拨钓鱼(Callback Phishing)
两阶段钓鱼攻击:看似无害的邮件诱导受害者拨打电话,人工坐席再引导其安装恶意软件。
- attacks№ 010
账户接管 (ATO)
犯罪者非法控制合法用户账户,用以盗取资金、数据或实施进一步欺诈的攻击。
- attacks№ 1065
社会工程学
通过心理操纵让目标执行特定行为或泄露机密信息,从而使攻击者获益的攻击方式。
- attacks№ 375
电子邮件欺骗
伪造邮件头使邮件看似来自可信发件人,通常用于钓鱼、欺诈或投递恶意软件。