近期，安天CERT（安全研究與應急處理中心）接收到來自客戶反映的收到自己郵件地址發送給自己的恐嚇郵件，勒索比特幣的事件，經分析發現這是自10月份以來新的詐騙手法。
一、概述
由于郵件信頭的發信人地址可以任意偽造，詐騙者通過將發信人郵箱偽造成受害者的收信郵箱，讓受害者收到一封“來自自己的郵件”，以此讓受害者相信自己的郵箱“已經被控制”；之后，詐騙者則進一步欺騙受害者，稱其設備也被安裝了木馬，且一直處于監控中，恐嚇受害者向指定比特幣錢包匯入指定金額消災。
網絡上已經有大量用戶反映收到了使用該類手法的詐騙郵件，查看詐騙者預留的比特幣錢包發現已有不少受害者上當，且目前仍然有受害者在向詐騙者匯入虛擬貨幣，其總計價值已有上萬美金。
目前流行的這類郵件是單純的恐嚇性詐騙郵件，可以直接忽略并刪除，受害者的郵箱和機器并未受到入侵和控制。
二、詐騙郵件事件分析
根據用戶反饋的相關詐騙郵件，這類郵件的標題為：“受害者郵箱地址”+“was hacked”。郵件正文內容基本包含以下幾方面：
1）聲稱自己是來自“暗網”的黑客（如waite23/kurtis09/hugibert19/murry02等虛假ID），警告受害者郵箱賬號已被盜取，不相信的話請查看收信人是否來自于受害者自己。
2）表示受害者的機器已感染了自己注入的木馬且遭受了長期監控，用戶上網記錄和本地數據能夠被隨意訪問，受害者修改密碼也不再管用等。
3）只要在48小時內向指定比特幣地址里匯入指定金額（例如500美金），就會刪除木馬并停止攻擊行為。
4）有的還會繼續發送郵件并提高金額。
圖1. 該類手法詐騙郵件的典型案例，用戶收到“來自自己的郵件”
這屬于典型的Sextortion騙局，這是一類常見的網絡詐騙手段。詐騙者在并未侵入受害者的信箱和設備的情況下，通過一系列的“證據”，譬如“展示受害者曾經泄露過的賬號密碼”等手法對受害者進行恐嚇，稱其郵箱已被盜用、設備遭到了真實的黑客入侵，然后聲稱一直在記錄受害者訪問成人網站等不當內容時的屏幕和攝像頭，如果受害者不向詐騙者指定的比特幣錢包付款，就會將這些事情公之于眾。
圖2. 詐騙者承諾48小時內付款將停止侵犯受害者隱私
而通過讓受害者收到“來自自己的郵件”來證明受害者郵箱已被黑客盜取的詐騙手段是最近一段時間才出現的。普通網民如果不清楚郵件的信頭可以任意偽造這一事實的話，很容易被詐騙者欺騙。
在我們獲取到的數十份郵件樣本中，詐騙者選取的收款地址全部是比特幣錢包“1MN7A7QqQaAVoxV4zdjdrnEHXmjhzcQ4Bq”。經查詢得知，自2018年10月13日起該收款地址共收到受害者匯入的1.61651067枚比特幣，按照當前兌換價格計算，金額超過一萬美元，截至目前仍有受害者在向其匯款。
圖3. 詐騙者預留比特幣地址收到大量的受騙者匯款
由于郵件發送使用的SMTP協議的信頭可以任意構造，部分郵件服務商轉發郵件不進行相互認證，因此其“from：”字段可以任意修改，在郵件中顯示為任意發信人。但對多數主流郵件服務商（ESP），這種郵件都會被反垃圾郵件功能主動攔截過濾，市面上常見的郵箱提供商都支持對此類垃圾郵件的過濾功能，包括直接拒絕接收該郵件。
客戶需檢查所使用的郵件系統是否配置了垃圾郵件過濾器或者需要更換更安全的郵件系統。
另外，根據BITCOINWHOSWHO提供的數據：自2018年9月份以來，有來自42個國家的大量受害者聲稱收到了使用各種不同手法的類似Sextortion的詐騙郵件。報告中稱搜集到了621個比特幣錢包地址，詐騙者通過這種敲詐手法共收到高達540.27603866個比特幣的贓款，給受害人帶來了很大的經濟損失。
三、總結
這一系列敲詐郵件，事實上是敲詐者通過偽造郵件信頭數據，讓受害者收到一封“來自自己的郵件”，以此讓被敲詐者相信其信箱被入侵了。但實際上，用戶的郵箱賬號和機器并未受到詐騙者的入侵和控制，切不可私下給詐騙者匯款以防上當受騙。
盡管這類敲詐收發并非由于郵件遭到入侵導致，但郵件仍是最易被攻擊的入口，我們對電子郵件的使用者和郵件系統搭建維護者提出如下建議：
用戶電子郵件安全防護可參考以下防范建議：
1. 提高個人安全意識，收發郵件時確認收發來源是否可靠，不要隨意點擊或者復制郵件中的網址，不要輕易下載來源不明的附件，建議對陌生人郵件一律不打開。
2. 盡量不在非可控環境下登錄電子郵件，如網吧的電腦、其他人的電腦等。
3. 確保郵件收發和登陸終端系統的環境安全（PC、手機、PAD等），及時升級更新和進行漏洞補丁修復，安裝終端安全防護軟件并及時升級打開監控，確保郵件收發的環境安全。
4. 郵箱密碼必須使用強密碼（例如：密碼長度大于12位字符，且必須為數字、英文大小寫字母、特殊字符組合），并定期更換密碼；密碼不得與其他服務混用。
5. 如使用郵件客戶端，確保客戶端安裝程序的安全性，按照郵件服務器支持的加密鏈接方式（如SSL）配置郵件收發，而不要使用明文協議收發郵件；對郵件客戶端數據文件所在卷，建議采用卷加密（如Bitlocker）。
6. 如使用瀏覽器收發郵件，需要使用HTTPS協議登陸信箱，而不要使用HTTP登陸。
7. 按照組織規定規范郵件簽名。
8. 郵箱地址不要隨意傳播，減少攻擊者找到攻擊入口的可能；必須公開郵件地址的，可以把@符號用其他符號替換，避免被爬蟲爬取識別后，成為垃圾郵件和攻擊郵件群發的目標。
企業郵件系統要確保安全有很多系統的工作，在這里我們給出一些可以參考的文獻：
1. 配置安全管理和使用電子郵件策略：包括電子郵件權限、收發用戶身份設置、電子郵件內容限制、電子郵件附件要求、郵件傳輸協議安全、異常郵件監控、用戶備份和歸檔保存等，具體可參考《信息安全策略編制指南-L9電子郵件安全策略》。
2. 保障郵件系統所在的網絡安全：包括網絡結構安全、入侵防范和安全審計等，可參考《可管理的網絡計劃V4.0（NSA/IAD）》[4]。
3. 保障郵件系統軟硬件安全：包括服務器、操作系統、數據庫的安全防范策略，可參考《DISA安全技術實施指南STIG》[5]。
4. 確保郵件系統的物理和管理安全：包括訪問控制、管理制度等，具體可參考《YD/T 3161-2016郵件系統安全防護要求》。