伪造电子邮件非常容易。如果有人确实伪造了这个，我不知道该机构会如何知道它。令人担忧的是，他们发送给您的链接是攻击本身。例如，这可能是CSRF攻击：

借助社会工程学的一点帮助（例如通过电子邮件或聊天发送链接），攻击者可能会欺骗 Web 应用程序的用户执行攻击者选择的操作。

一个建议是联系办公室，看看他们是否这样做。仅仅因为语言看起来正确并说它来自正确的发件人就没有任何意义。这是网络钓鱼电子邮件中常用的方法。

CERT（Computer Emergency Response Team）的任务正是监视其选区下的活跃分子的安全问题。

对于像 CERT-AU 这样的国家 CERT，他们通常关心他们所在国家/地区托管的所有内容，如果他们意识到任何问题，他们的任务是与受影响的所有者联系，以便他可以解决问题（如他们在这种情况下做到了）。如果您需要它来发现问题，他们也可以为您提供一些建议。

这些服务对人们是免费的（他们是政府机构），他们不会因为通知您而要求您支付任何费用。

可在https://cert.gov.au/services获得 CERT-AU 服务的完整列表

­­­ 

向您提供网址为 hXXp://domain.com[.]au/s.htm 的方式是共享恶意网址的一种非常常见的方式。目标是您收到 url（您需要它来找出恶意内容的位置），但同时将您在错误环境中或在完整阅读电子邮件之前无意中打开它的风险降到最低（此外，它还有助于避免电子邮件过滤器删除包含恶意 URL 的电子邮件¹）。

­­­ 

他们可能从许多来源了解到这一事件：

• 一个人通知了他们
• 另一家 CERT 或安全公司通知了他们
• 它出现在他们订阅的一些受感染网站列表中
• 它出现在他们正在观看的一些污损论坛上（如 zone-h）
• 他们在进行其他调查时发现了它

­­­ 

通过 CERT 发送通知的好处包括：

• 当有多个受感染网站时，通知每个国家的单个实体比通知每个网站运营商要容易得多¹
• CERT 通常会有一些关于重试的程序，以防他被管理员忽略。第三方可能只会尝试一次。
• CERT 可能有更好的联系人来发送通知。
• 作为中立方，CERT更容易被关注²
• 没有语言障碍：CERT 应该能够用他的母语联系网站所有者。
• CERT 将拥有能够轻松理解问题的技术人员，并能够在需要时向网站所有者（其自身知识可能为零）解释这一点。

­­­ 

全球 CERT 列表（公共和私人）可在 First 获得：https ://first.org/members/teams 

Trusted Introducer还提供欧洲 CERT 和安全团队的数据库。

­­­ 

¹ 例如，Google 每天都会通过抓取发现大量恶意网址，而不是尝试直接向所有者报告，而是与相关的国家 CERT 共享这些网址，以便他可以处理通知。

² 想象一下这个问题是«一个来自 hotmail 地址的随机人发送给我们的管理员......»

除非他们在信中告诉你，否则无法知道他们是如何得知黑客入侵的。很可能有人向 CERT 报告了问题、攻击或某种类型的探测，然后他们能够将回溯的来源追溯到您服务器的 IP 地址。

我建议你至少继续调查；但考虑聘请安全公司。除了了解发生了什么之外，在攻击的这个阶段还有很多事情要做。您可能需要保存证据，您需要恢复您的系统，您可能需要提供违规通知，您可能需要您的客户更改他们的密码；各种活动都可能源于违规行为，专业人士将帮助您完成这一切。

如果没有看到电子邮件标题，我们就无法确定，但正如上面的 Jimmy James 所说，这听起来更有可能是电子邮件通知是网络钓鱼。对于将文件放在那里的攻击者来说，了解它并“正式”向您“报告”以让您点击它要容易得多。CSRF 听起来像是最有可能进行的尝试。攻击者无法知道他们发送邮件的人在网站上没有凭据，但正如您所指出的，他们很有帮助地将电子邮件转发给您，谁有。并不是说它成功了，但“他们怎么知道”的答案似乎最有可能是“他们没有，并且通知是伪造的”。