中國消費者報報道(記者武曉莉)5月25日,,“搜狐全體員工遭遇工資補助詐騙”沖上微博熱搜,。
一份網(wǎng)傳聊天記錄顯示,,搜狐全體員工在5月18日早晨收到一封來自“搜狐財務部”名為《5月份員工工資補助通知》的郵件,。根據(jù)該郵件提供的操作流程,,大量員工按照附件掃碼,,并填寫了銀行賬號等信息,,可最終不但沒有等到所謂的補助,,工資卡內的余額也被劃走,。5月25日,搜狐創(chuàng)始人,、董事局主席兼首席執(zhí)行官張朝陽在社交平臺發(fā)文確認了這一傳聞,,并表示受損金額不是很大。
專家稱,,這種釣魚詐騙形式并不少見,,有的安全公司在做釣魚郵件演習時,有不少員工當真,。那么,,員工郵件是如何被獲取的?釣魚郵件詐騙是如何實現(xiàn)的,?不法分子將錢轉走,,究竟進行了哪些操作?不法分子為何能實現(xiàn)用公司域名的郵件群發(fā),?企業(yè)郵箱的安全性如何保證,?員工又該注意什么?《中國消費者報》記者對此進行了深入調查,。
日常安全演習真“釣”到了員工
“我們公司曾經(jīng)做過一個類似的釣魚郵件演習,,有不少同事當真了,。”同盾科技有限公司市場部的項茜雯對《中國消費者報》記者說,。據(jù)記者了解,,類似同盾科技這樣的網(wǎng)絡安全專業(yè)公司,日常都會進行各種網(wǎng)絡安全演練,。項茜雯發(fā)給記者的公司郵件截圖顯示,,該公司安全部門以端午節(jié)抽獎為由發(fā)送釣魚郵件,結果有不少同事中招,,成功提交了自己的賬號與密碼,。
據(jù)搜狐內部員工透露,之所以會上當,,一是因為日常很多報銷項目都是網(wǎng)絡上進行的,,二是收到的釣魚郵件后綴是搜狐域名,這樣自然會以為是公司財務發(fā)的,。
5月25日下午,,搜狐在微博發(fā)布聲明稱,5月18日凌晨,,搜狐部分員工郵箱收到詐騙郵件,。經(jīng)調查,實為某員工使用郵件時被意外釣魚導致密碼泄露,,進而被不法分子冒充財務部盜發(fā)郵件,。據(jù)統(tǒng)計,共有24名員工被騙取4萬余元,。目前正在等待警方的調查進展和處理結果,?!八押@種情況,,我們猜測攻擊者采用的是通過代扣方式來轉錢,所以損失金額不大,?!表椳琏┱f。
“郵件攻擊是針對企業(yè)最簡單,,但也最有效,、最具迷惑性的攻擊方法?!逼姘残判袠I(yè)安全研究中心主任裴智勇對《中國消費者報》記者說,。
釣魚郵件為何能用公司域名
釣魚郵件是如何實現(xiàn)使用公司域名后綴的呢?員工的郵件地址又是如何被獲取的呢,?
“實現(xiàn)用公司域名發(fā)送有兩種常規(guī)手段,?!毙《馨踩夹g專家狴犴告訴《中國消費者報》記者,“一是攻擊者通過社會工程學破解獲取公司內部郵箱,,例如攻擊者掌握相關企業(yè)郵箱系統(tǒng)的管理缺陷或安全漏洞,,安插病毒獲取數(shù)據(jù);部分廢棄公共郵箱未正?;厥?,被不法分子利用(已離職的員工或者員工郵箱賬號密碼泄露);郵箱管理員賬號泄露(被釣魚或其他情況),;內部員工與外部攻擊者勾結(利益分成),。二是攻擊者偽造公司域名,通過技術手段,,將發(fā)件人的域名包裝得與內部域名一樣或相似,。”
“這種騙術很常見,,尤其是去年最多,。”中國人民公安大學偵查學院副教授王曉偉對《中國消費者報》記者說,,“這種騙術可能就是內部員工郵箱被盜,,尤其是財務人員的手機有時候無意間中了木馬,導致郵箱或相關賬戶泄露,,不法分子通過內部郵件系統(tǒng)給員工發(fā)帶有鏈接的郵件,。而由于后綴是公司域名,內部員工的防范心理就會比較弱,,就會根據(jù)郵件要求泄露自己的賬戶信息,。”
據(jù)王曉偉介紹,,還有一種情況是騙子先潛入一些內部群,,或者是用一些域名相近的郵箱給某個公司或員工發(fā)有鏈接的釣魚信息,誘導員工一步一步地操作,?!斑@種情況比較多,類似常見的ETC失效之類的操作模式,,覆蓋面也比較大,,不法分子就博一個概率?!彼f,。
據(jù)狴犴介紹,獲取員工的郵件地址有幾個途徑,,攻擊者根據(jù)公司對外留下的郵箱格式進行枚舉猜測,;離職人員或內部員工泄露,;攻擊者成功攻擊郵件系統(tǒng)后臺后獲取。
互聯(lián)網(wǎng)公司為何也會被釣魚
“互聯(lián)網(wǎng)企業(yè)一般都會部署郵件安全系統(tǒng)或郵件威脅識別系統(tǒng),?!迸嶂怯抡f,“‘搜狐事件’關聯(lián)企業(yè)本身也是國內領先的郵件服務商,,此類系統(tǒng)肯定也是健全的,。只不過釣魚郵件本身確實很難識別,難免會有漏網(wǎng)之魚,?!?/p>
裴智勇表示,類似的成功攻擊事件實際上經(jīng)常發(fā)生,。每年被盜的各類郵箱賬號數(shù)以百萬計,,都是安全管理疏忽的表現(xiàn)。而員工被釣魚郵件所騙,,也是自身安全防范意識不足的體現(xiàn),。“僅就目前能夠看到的信息來說,,這次事件很可能是非常典型的OA釣魚攻擊與網(wǎng)絡詐騙攻擊相結合的連環(huán)網(wǎng)絡攻擊事件,。”他說,,也可能是企業(yè)有內鬼,。
裴智勇認為,電子郵件是最早的網(wǎng)絡通信方式,,設計之初并沒有任何安全考慮,,普通的電子郵件基本都是明文傳輸,且沒有加密校驗,。郵件傳輸過程中不論被誰截獲,,都能讀取和修改原文,而且郵件的接收者無法校驗郵件是否被修改過?,F(xiàn)在,,大型郵件服務商都設置了很多安全機制,比如,,收件系統(tǒng)可以向發(fā)件系統(tǒng)發(fā)出驗證信息,以確認郵箱或郵件來源是否可信,。不過很多企業(yè)都出于各種原因,,沒有開啟類似的校驗功能?!暗]件報文明文傳輸?shù)谋举|,,是其容易被篡改的根本原因,。”他解釋道,。
“使用郵件代理也可以產(chǎn)生這樣的效果,。”裴智勇說,,“軟件會先把郵件截下來發(fā)送到某個受控郵箱,,再由受控郵箱把郵件正文截下來,之后把郵件轉發(fā)給原定的收件人,。這樣,,收件人看到的發(fā)件人就是代理郵箱或中轉郵箱發(fā)出的郵件,而不是原始郵件,?!?/p>
如何防范企業(yè)郵箱釣魚風險
“針對企業(yè)郵箱安全性保障有兩個建議?!贬碚f,,“一是郵箱服務端的安全性保障,如企業(yè)增加服務端的郵件網(wǎng)關等安全防護,,加強郵箱安全策略的實施,;二是郵箱客戶端的安全性保障,如增加郵箱多因素認證,、專有密碼的使用落實,。公司內部也可以多舉辦安全培訓與釣魚演戲等活動,提高大家安全意識,?!?/p>
針對員工注意事項,狴犴建議,,嚴格按管理員要求強化自己郵箱密碼,,盡量采用多因素認證以及強密碼策略。當下攻擊手段各種各樣,,針對有誘惑性內容的郵件,,一定要多個心眼,可以通過仔細核對發(fā)件人地址,、及時與發(fā)件人核實等方式二次確認,,并警惕不明郵件的鏈接或附件,以免落入詐騙圈套,。
裴智勇認為,,企業(yè)不僅需要部署郵件安全系統(tǒng),還要經(jīng)常進行員工安全意識教育,,包括進行各類實戰(zhàn)攻防演習,。同時,,企業(yè)郵箱系統(tǒng)需要開啟強制弱口令檢測,強制定期改密碼,,最大限度降低郵箱盜號風險,。
