如果您收到“来自您自己”的勒索电子邮件，请不要惊慌

前言

近日，媒体收到客户的报道称，他们从自己的邮箱中收到了勒索比特币的威胁邮件。经过分析，发现这是10月份以来的一种新的欺诈手段。

一、概览

由于邮件头中的发件人地址可以任意伪造，骗子将发件人的邮箱地址伪造为受害者的收件人邮箱地址，使受害者收到一封“来自自己的邮件”中文比特币诈骗邮件，从而使受害者信服自己的邮箱“已被控制”；之后，骗子进一步欺骗受害者，称该设备还安装了木马，并一直受到监控，恐吓受害者将指定金额转入指定比特币钱包，以消除灾难。

互联网上的大量用户报告说他们收到了使用此类方法的欺诈性电子邮件。检查骗子预留的比特币钱包发现，不少受害者被骗，还有受害者还在向骗子转移虚拟货币。它的总价值已达数万美元。

目前流行的邮件都是简单的恐吓诈骗邮件，可以忽略，直接删除。受害者的邮箱和机器不受入侵和控制。

二、欺诈电子邮件事件分析

根据用户举报的相关诈骗邮件，此类邮件的主题为：“受害者邮箱”+“被黑”。邮件正文的内容主要包括以下几个方面：

1）一位自称来自“暗网”的黑客（如waite23/kurtis09/hugibert19/murry02等假ID）警告受害者邮箱账号被盗，如果你不相信它，请检查收件人是否来自受害者本人。

2） 表示受害者的机器已经感染了自己注入的木马，被长期监控。用户的在线记录和本地数据可以随意访问，受害者修改密码不再有效。

3）只要在48小时内将指定金额（如$500）汇入指定的比特币地址，木马就会被删除，攻击就会停止。

4）有些人会继续发邮件，增加金额。

图1. 此类诈骗邮件的典型案例，用户收到“来自自己的邮件”

这是典型的 Sextortion 骗局，是一种常见的在线骗局。骗子利用“出示受害者泄露的账号和密码”等一系列“证据”，在不侵入受害者邮箱和设备的情况下恐吓受害者，称其邮箱被盗。，设备实际上被黑客入侵，然后声称在访问成人网站等不当内容时记录了受害者的屏幕和摄像头，如果受害者不支付诈骗者指定的比特币钱包，这些内容将被公开。

图 2. 骗子承诺48小时内付款，停止侵犯受害者隐私

通过让受害者接收“来自自己的邮件”来证明受害者邮箱被黑客窃取的欺诈方法只是最近才出现。普通网友如果不知道邮件标头可以随意伪造，很容易被骗子上当。

在我们获得的几十封邮件样本中，骗子选择的收件人地址都是比特币钱包“1MN7A7QqQaAVoxV4zdjdrnEHXmjhzcQ4Bq”。经查询发现，自2018年10月13日起，收款地址共收到受害者汇出的1.61651067个比特币。按照目前的兑换价，金额超过1万美元。受害者正在向它汇款。

图 3. 骗子预留比特币地址，收到被骗者大额汇款

由于用于发送邮件的 SMTP 协议的 header 可以任意构造，而且有些邮件服务商在转发邮件时不进行相互认证，因此“from:”字段可以任意修改，显示为邮件中的任意发件人。但是，对于大多数主流电子邮件服务提供商（ESP）来说，这种电子邮件会被反垃圾邮件功能主动拦截和过滤。市面上常见的邮件提供商都支持对此类垃圾邮件的过滤功能，包括直接拒收邮件。

客户需要检查所使用的邮件系统是否配置了垃圾邮件过滤器或需要更换更安全的邮件系统。

此外，根据 BITCOINWHOSWHO 提供的数据：自 2018 年 9 月以来，来自 42 个国家/地区的大量受害者声称收到了使用各种方法的类似于 Sextortion 的诈骗电子邮件。报道称，共收集到621个比特币钱包地址，骗子通过这种勒索方式共收到了540.27603866比特币的赃款，给受害者带来了巨大的经济损失。

三、总结

在这一系列敲诈邮件中，敲诈者实际上是通过伪造邮件的标头数据中文比特币诈骗邮件，让受害者收到一封“来自自己的邮件”，从而使敲诈者认为自己的邮箱被盗用了。但实际上，用户的邮箱账号和机器并没有被骗子入侵和控制，切不可私下给骗子汇款，以免上当受骗。

尽管这种类型的勒索不是由电子邮件入侵引起的，但电子邮件仍然是最容易受到攻击的入口点。我们向电子邮件用户和电子邮件系统构建者和维护者提出以下建议：

用户邮件安全防护可参考以下防范建议：

1. 提高个人安全意识，收发邮件时检查来源是否可靠，不要点击或复制邮件中的网址，不要轻易下载来历不明的附件。建议不要打开陌生人的邮件。

2. 尽量不要在不受控制的环境中登录邮件，比如网吧的电脑，别人的电脑等。

3. 确保收发邮件和登录终端系统（PC、手机、PAD等）的环境安全，及时更新修复漏洞，安装终端安全防护软件和及时升级开放监控，确保邮件收发的环境安全。

4.邮箱密码必须是强密码（例如密码长度必须超过12个字符，并且必须是数字、大小写字母和特殊字符的组合），并且必须更改密码经常; 密码不得与其他服务混用。

5. 如果使用邮件客户端，请确保客户端安装程序的安全，并根据邮件服务器支持的加密链接方式（如SSL）配置邮件收发，而不是使用明文协议发送和接收电子邮件；卷，建议使用卷加密（如Bitlocker）。

6.如果使用浏览器收发邮件，需要使用HTTPS协议登录邮箱，不能使用HTTP。

7. 按照组织规定标准化电子邮件签名。

8. 请勿随意传播邮箱地址，减少攻击者找到攻击入口的可能性；如果必须公开邮箱地址，可以将@符号替换为其他符号，避免被爬虫识别，成为垃圾邮件和攻击邮件。目标。

有许多系统任务来确保企业邮件系统的安全。这里我们提供一些参考资料供参考：

1. 配置安全管理和使用邮件策略：包括邮件权限、收发用户身份设置、邮件内容限制、邮件附件要求、邮件传输协议安全、邮件异常监控、用户备份存档保存等。 , 详情请参考《信息安全策略准备指南-L9邮件安全策略》。

2. 确保邮件系统所在的网络安全：包括网络结构安全、入侵防御和安全审计等，请参考《可管理网络方案V4.0（NSA/IAD）》 [4]。

3. 确保邮件系统的软硬件安全：包括服务器、操作系统、数据库的安全策略，请参考DISA安全技术实施指南STIG[5]。

4. 确保邮件系统的物理和管理安全：包括访问控制、管理系统等，具体请参见《YD/T 3161-2016 邮件系统安全防护要求》。

参考链接

1. bleepingcomputer.com/news/security/new-sextortion-scam-pretends-to-come-from-your-hacked-email-account/

2. bitcoinwhoswho.com/blog/2018/09/30/42-countries-report-sextortion-email-scam/

3.cryptome.org/2016/01/nsa-16-0114.pdf

4. iase.disa.mil/stigs/Pages/index.aspx#