如果您收到“来自自己”的勒索信息，请不要惊慌

近日，安天CERT（安全研究与应急响应中心）收到了来自客户的威胁邮件，这些客户收到了自己的邮箱地址，以勒索比特币。经分析，这是10月份以来的新事件。欺诈的方法。

一、概述

由于邮件标头中的发件人地址可以任意伪造，骗子会通过将发件人的邮箱地址伪造为收件人的邮箱地址，让受害者收到一封“来自自己的邮件”。认为自己的邮箱“已被控制”；之后，骗子进一步欺骗受害者，称其设备也安装了木马，并一直受到监控，恐吓受害者将指定金额转入指定的比特币钱包，以消除灾难。

互联网上有大量用户报告说他们收到了使用此类方法的欺诈性电子邮件。查了骗子预留的比特币钱包发现，很多受害者都被骗了，还有受害者还在向骗子转账虚拟货币，总价值上万美元。

目前流行的邮件纯属恐吓诈骗邮件，可以忽略，直接删除。受害者的邮箱和机器没有被入侵和控制。

二、诈骗邮件事件分析

根据用户举报的相关诈骗邮件邮箱收到勒索比特币邮件，该类邮件的主题为：“受害者邮箱”+“被黑”。邮件正文的内容主要包括以下几个方面：

1） 自称是来自“暗网”的黑客（如waite23/kurtis09/hugibert19/murry02等假ID），警告受害者邮箱账号被盗，如果不这样做不信，请检查收件人是否来自受害者本人。

2）表示受害者的机器已经感染了自己注入的木马，被长期监控。用户上网记录和本地数据可随意访问，受害者修改密码不再有效。

3）只要在48小时内将指定金额（如$500）转入指定的比特币地址，木马就会被删除，攻击就会停止。

4）有的会继续发邮件，增加金额。

图1.此类诈骗邮件的典型案例，用户收到“来自自己的邮件”

这是典型的 Sextortion 骗局，是一种常见的在线骗局。骗子利用“出示受害者泄露的账号和密码”等一系列“证据”，在不侵入受害者邮箱和设备的情况下恐吓受害者，称其邮箱被盗。 ，设备实际上被黑客入侵，然后声称在访问成人网站等不当内容时记录了受害者的屏幕和摄像头，如果受害者不支付诈骗者指定的比特币钱包，这些内容将被公开。

图片2.骗子承诺48小时内付款，停止侵犯受害者隐私

最近才出现了通过让受害者收到“来自自己的邮件”来证明受害者邮箱被黑客窃取的欺诈方法。普通网友如果不知道邮件标头可以随意伪造，很容易被骗子上当。

在我们获取的几十个邮件样本中，骗子选择的收件人地址都是比特币钱包“1MN7A7QqQaAVoxV4zdjdrnEHXmjhzcQ4Bq”。经查询发现，自2018年10月13日起，收款地址共收到受害者汇出的1.61651067个比特币。按照目前的兑换价，金额超过1万美元。受害者正在向它汇款。

图3.骗子预留了比特币地址，从受骗者那里收了一大笔钱

由于用于发送邮件的 SMTP 协议的标头可以任意构造，并且一些邮件服务提供商在转发邮件时无需相互认证，因此“发件人：”字段可以任意修改并显示为邮件中的任何发件人。但是，对于大多数主流电子邮件服务提供商（ESP）来说，这种电子邮件会被反垃圾邮件功能主动拦截和过滤。市面上常见的邮件服务商都支持这种垃圾邮件的过滤功能，包括直接拒收邮件。

客户需要检查所使用的邮件系统是否配置了垃圾邮件过滤器或需要更改为更安全的邮件系统。

此外，据BITCOINWHOSWHO提供的数据显示：自2018年9月以来，来自42个国家的大量受害者声称收到了类似Sextortion的诈骗邮件，使用各种方法。报道称，共收集到621个比特币钱包地址，骗子通过这种勒索方式一共收到了540.27603866比特币的赃款，给受害者带来了巨大的经济损失。

三、总结

在这一系列勒索邮件中，勒索者伪造邮件的标头数据，让受害者收到一封“来自自己的邮件”，从而使被勒索者认为自己的邮箱已被盗用。但实际上用户的邮箱和机器并没有被骗子入侵和控制，千万不能私自给骗子汇款，以免上当受骗。

虽然这种类型的勒索不是由电子邮件入侵引起的，但电子邮件仍然是最容易受到攻击的入口点。我们向电子邮件用户和电子邮件系统构建者和维护者提出以下建议：

用户邮箱安全防护可参考以下注意事项：

1. 提高个人安全意识，收发邮件时确认来源是否可靠，不要随意点击或复制邮件中的网址，不要轻易下载来历不明的附件。建议不要打开陌生人的邮件。

2. 尽量不要在不受控制的环境中登录邮箱，比如网吧的电脑、别人的电脑等。

3. 确保收发邮件和登录终端系统（PC、手机、PAD等）的环境安全，及时更新修复漏洞，安装终端安全保护软件并及时升级和开启监控，确保邮件收发。环境安全。

4.邮箱密码必须是强密码（例如密码长度必须超过12个字符，并且必须是数字、大小写字母和特殊字符的组合），并更改定期密码；密码不得与其他服务混用。

5.如果使用邮件客户端，请确保客户端安装程序的安全，并根据邮件服务器支持的加密链接方式（如SSL）配置邮件收发，而不是使用发送和接收电子邮件的明文协议；建议使用卷加密（如 Bitlocker）。

6.如果使用浏览器收发邮件，需要使用HTTPS协议登录邮箱，不能使用HTTP。

7. 按照组织规定标准化电子邮件签名。

8. 请勿随意传播邮箱地址，减少攻击者找到攻击入口的可能性；如果必须公开邮箱地址，可以将@符号替换为其他符号，避免被爬虫抓取识别，成为垃圾邮件和攻击群发邮件的目标。

企业邮件系统有很多系统工作来保证安全，这里我们给出一些参考供参考：

1. 配置安全管理和使用邮件策略：包括邮件权限、收发用户身份设置、邮件内容限制、邮件附件要求、邮件传输协议安全、邮件异常监控、用户备份和归档详情请参考《信息安全策略准备指南-L9邮件安全策略》。

2.保障邮件系统的网络安全：包括网络结构安全、入侵防御和安全审计等邮箱收到勒索比特币邮件，请参考《可管理网络方案V4.0（NSA/IAD）》 "[4]。

3. 确保邮件系统的软硬件安全：包括服务器、操作系统、数据库的安全策略，请参考DISA安全技术实施指南STIG[5]。

4.确保邮件系统的物理和管理安全：包括访问控制、管理系统等，具体请参见《YD/T 3161-2016邮件系统安全防护要求》。