5月25日���,“搜狐全體員工遭遇工資補(bǔ)助詐騙”沖上微博熱搜。
一份網(wǎng)傳聊天記錄顯示�,搜狐全體員工在5月18日早晨收到一封來自“搜狐財(cái)務(wù)部”名為《5月份員工工資補(bǔ)助通知》的郵件����。根據(jù)該郵件提供的操作流程����,大量員工按照附件掃碼,并填寫了銀行賬號等信息�����,可最終不但沒有等到所謂的補(bǔ)助�,工資卡內(nèi)的余額也被劃走。5月25日����,搜狐創(chuàng)始人��、董事局主席兼首席執(zhí)行官張朝陽在社交平臺發(fā)文確認(rèn)了這一傳聞,并表示受損金額不是很大��。
專家稱�����,這種釣魚詐騙形式并不少見,有的安全公司在做釣魚郵件演習(xí)時,有不少員工當(dāng)真����。那么���,員工郵件地址是如何被獲取的?釣魚郵件詐騙是如何實(shí)現(xiàn)的?不法分子將錢轉(zhuǎn)走���,究竟進(jìn)行了哪些操作?不法分子為何能實(shí)現(xiàn)用公司域名的郵件群發(fā)?企業(yè)郵箱的安全性如何保證?員工又該注意什么?《中國消費(fèi)者報(bào)》記者對此進(jìn)行了深入調(diào)查��。
日常安全演習(xí)真“釣”到了員工
“我們公司曾經(jīng)做過一個類似的釣魚郵件演習(xí),有不少同事當(dāng)真了。”同盾科技有限公司市場部的項(xiàng)茜雯對《中國消費(fèi)者報(bào)》記者說���。據(jù)記者了解,類似同盾科技這樣的網(wǎng)絡(luò)安全專業(yè)公司,日常都會進(jìn)行各種網(wǎng)絡(luò)安全演練���。項(xiàng)茜雯發(fā)給記者的公司郵件截圖顯示,該公司安全部門以端午節(jié)抽獎為由發(fā)送釣魚郵件���,結(jié)果有不少同事中招���,成功提交了自己的賬號與密碼�����。
據(jù)搜狐內(nèi)部員工透露,之所以會上當(dāng)���,一是因?yàn)槿粘:芏鄨?bào)銷項(xiàng)目都是在網(wǎng)絡(luò)上進(jìn)行的,二是收到的釣魚郵件后綴是搜狐域名���,這樣自然會以為是公司財(cái)務(wù)發(fā)的。
5月25日下午�,搜狐在微博發(fā)布聲明稱,5月18日凌晨,搜狐部分員工郵箱收到詐騙郵件�。經(jīng)調(diào)查��,實(shí)為某員工使用郵件時被意外“釣魚”導(dǎo)致密碼泄露,進(jìn)而被不法分子冒充財(cái)務(wù)部盜發(fā)郵件。據(jù)統(tǒng)計(jì)�����,共有24名員工被騙取4萬余元���。目前正在等待警方的調(diào)查進(jìn)展和處理結(jié)果���。
“搜狐這種情況����,我們猜測攻擊者采用的是通過代扣方式來轉(zhuǎn)錢,所以損失金額不大��。”項(xiàng)茜雯說�����。
“郵件攻擊是針對企業(yè)最簡單����,但也最有效���、最具迷惑性的攻擊方法�。”奇安信行業(yè)安全研究中心主任裴智勇對《中國消費(fèi)者報(bào)》記者說。
釣魚郵件為何能用公司域名
釣魚郵件是如何實(shí)現(xiàn)使用公司域名后綴的呢?員工的郵件地址又是如何被獲取的呢?
“實(shí)現(xiàn)用公司域名發(fā)送有兩種常規(guī)手段。”小盾安全技術(shù)專家狴犴告訴《中國消費(fèi)者報(bào)》記者,“一是攻擊者通過社會工程學(xué)破解獲取公司內(nèi)部郵箱����,例如攻擊者掌握相關(guān)企業(yè)郵箱系統(tǒng)的管理缺陷或安全漏洞�,安插病毒獲取數(shù)據(jù);部分廢棄公共郵箱未正?;厥眨徊环ǚ肿永?已離職的員工或者員工郵箱賬號密碼泄露);郵箱管理員賬號泄露(被釣魚或其他情況);內(nèi)部員工與外部攻擊者勾結(jié)(利益分成)��。二是攻擊者偽造公司域名�,通過技術(shù)手段����,將發(fā)件人的域名包裝得與內(nèi)部域名一樣或相似。”
“這種騙術(shù)很常見�����。”中國人民公安大學(xué)偵查學(xué)院副教授王曉偉對《中國消費(fèi)者報(bào)》記者說����,“這種騙術(shù)可能就是內(nèi)部員工郵箱被盜,尤其是財(cái)務(wù)人員的手機(jī)有時候無意間中了木馬���,導(dǎo)致郵箱或相關(guān)賬戶泄露,不法分子通過內(nèi)部郵件系統(tǒng)給員工發(fā)帶有鏈接的郵件�����。而由于后綴是公司域名����,內(nèi)部員工的防范心理就會比較弱,就會根據(jù)郵件要求泄露自己的賬戶信息��。”
據(jù)王曉偉介紹,還有一種情況是騙子先潛入一些內(nèi)部群����,或者是用一些域名相近的郵箱給某個公司或員工發(fā)有鏈接的釣魚信息�,誘導(dǎo)員工一步一步地操作��。“這種情況比較多�,類似常見的ETC失效之類的操作模式�����,覆蓋面也比較大,不法分子就博一個概率���。”他說。
據(jù)狴犴介紹�,獲取員工的郵件地址有幾個途徑�����,攻擊者根據(jù)公司對外留下的郵箱格式進(jìn)行枚舉猜測;離職人員或內(nèi)部員工泄露;攻擊者成功攻擊郵件系統(tǒng)后臺后獲取。
互聯(lián)網(wǎng)公司為何也會被釣魚
“互聯(lián)網(wǎng)企業(yè)一般都會部署郵件安全系統(tǒng)或郵件威脅識別系統(tǒng)�����。”裴智勇說���,“‘搜狐事件’關(guān)聯(lián)企業(yè)本身也是國內(nèi)領(lǐng)先的郵件服務(wù)商���,此類系統(tǒng)肯定也是健全的��。只不過釣魚郵件本身確實(shí)很難識別���,難免會有漏網(wǎng)之魚���。”
裴智勇表示�,類似的成功攻擊事件實(shí)際上經(jīng)常發(fā)生����。每年被盜的各類郵箱賬號數(shù)以百萬計(jì),都是安全管理疏忽的表現(xiàn)�。而員工被釣魚郵件所騙���,也是自身安全防范意識不足的體現(xiàn)。“僅就目前能夠看到的信息來說,這次事件很可能是非常典型的OA釣魚攻擊與網(wǎng)絡(luò)詐騙攻擊相結(jié)合的連環(huán)網(wǎng)絡(luò)攻擊事件�����。”他說��,也可能是企業(yè)有內(nèi)鬼�����。
裴智勇認(rèn)為,電子郵件是最早的網(wǎng)絡(luò)通信方式,設(shè)計(jì)之初并沒有任何安全考慮,普通的電子郵件基本都是明文傳輸��,且沒有加密校驗(yàn)�。郵件傳輸過程中不論被誰截獲,都能讀取和修改原文,而且郵件的接收者無法校驗(yàn)郵件是否被修改過?���,F(xiàn)在����,大型郵件服務(wù)商都設(shè)置了很多安全機(jī)制�,比如,收件系統(tǒng)可以向發(fā)件系統(tǒng)發(fā)出驗(yàn)證信息,以確認(rèn)郵箱或郵件來源是否可信。不過很多企業(yè)都出于各種原因,沒有開啟類似的校驗(yàn)功能。“但郵件明文傳輸?shù)谋举|(zhì)�,是其容易被篡改的根本原因����。”他解釋道����。
“使用郵件代理也可以產(chǎn)生這樣的效果。”裴智勇說����,“軟件會先把郵件截下來發(fā)送到某個受控郵箱����,再由受控郵箱把郵件正文截下來����,之后把郵件轉(zhuǎn)發(fā)給原定的收件人。這樣,收件人看到的發(fā)件人就是代理郵箱或中轉(zhuǎn)郵箱發(fā)出的郵件����,而不是原始郵件�。”
如何防范企業(yè)郵箱釣魚風(fēng)險(xiǎn)
“針對企業(yè)郵箱安全性保障有兩個建議����。”狴犴說,“一是郵箱服務(wù)端的安全性保障,如企業(yè)增加服務(wù)端的郵件網(wǎng)關(guān)等安全防護(hù)���,加強(qiáng)郵箱安全策略的實(shí)施;二是郵箱客戶端的安全性保障,如增加郵箱多因素認(rèn)證、專有密碼的使用落實(shí)��。公司內(nèi)部也可以多舉辦安全培訓(xùn)與釣魚演習(xí)等活動���,提高大家的安全意識���。”
針對員工注意事項(xiàng)���,狴犴建議���,嚴(yán)格按管理員的要求強(qiáng)化自己的郵箱密碼��,盡量采用多因素認(rèn)證以及強(qiáng)密碼策略�。當(dāng)下攻擊手段各種各樣����,針對有誘惑性內(nèi)容的郵件�,一定要多個心眼,可以通過仔細(xì)核對發(fā)件人地址�、及時與發(fā)件人核實(shí)等方式二次確認(rèn)����,并警惕不明郵件的鏈接或附件���,以免落入詐騙圈套��。
裴智勇認(rèn)為����,企業(yè)不僅需要部署郵件安全系統(tǒng)����,還要經(jīng)常進(jìn)行員工安全意識教育,包括進(jìn)行各類實(shí)戰(zhàn)攻防演習(xí)���。同時,企業(yè)郵箱系統(tǒng)需要開啟強(qiáng)制弱口令檢測�,強(qiáng)制定期改密碼�,以便最大限度地降低郵箱盜號風(fēng)險(xiǎn)���。(本報(bào)記者 武曉莉)
關(guān)鍵詞:
工資補(bǔ)貼詐騙
補(bǔ)助金詐騙
騙取補(bǔ)助會怎么樣
搜狐創(chuàng)始人
