5月25日,“搜狐全體員工遭遇工資補(bǔ)助詐騙”沖上微博熱搜。
一份網(wǎng)傳聊天記錄顯示,搜狐全體員工在5月18日早晨收到一封來(lái)自“搜狐財(cái)務(wù)部”名為《5月份員工工資補(bǔ)助通知》的郵件。根據(jù)該郵件提供的操作流程,大量員工按照附件掃碼,并填寫了銀行賬號(hào)等信息,可最終不但沒(méi)有等到所謂的補(bǔ)助,工資卡內(nèi)的余額也被劃走。5月25日,搜狐創(chuàng)始人、董事局主席兼首席執(zhí)行官?gòu)埑?yáng)在社交平臺(tái)發(fā)文確認(rèn)了這一傳聞,并表示受損金額不是很大。
專家稱,這種釣魚(yú)詐騙形式并不少見(jiàn),有的安全公司在做釣魚(yú)郵件演習(xí)時(shí),有不少員工當(dāng)真。那么,員工郵件地址是如何被獲取的?釣魚(yú)郵件詐騙是如何實(shí)現(xiàn)的?不法分子將錢轉(zhuǎn)走,究竟進(jìn)行了哪些操作?不法分子為何能實(shí)現(xiàn)用公司域名的郵件群發(fā)?企業(yè)郵箱的安全性如何保證?員工又該注意什么?《中國(guó)消費(fèi)者報(bào)》記者對(duì)此進(jìn)行了深入調(diào)查。
日常安全演習(xí)真“釣”到了員工
“我們公司曾經(jīng)做過(guò)一個(gè)類似的釣魚(yú)郵件演習(xí),有不少同事當(dāng)真了。”同盾科技有限公司市場(chǎng)部的項(xiàng)茜雯對(duì)《中國(guó)消費(fèi)者報(bào)》記者說(shuō)。據(jù)記者了解,類似同盾科技這樣的網(wǎng)絡(luò)安全專業(yè)公司,日常都會(huì)進(jìn)行各種網(wǎng)絡(luò)安全演練。項(xiàng)茜雯發(fā)給記者的公司郵件截圖顯示,該公司安全部門以端午節(jié)抽獎(jiǎng)為由發(fā)送釣魚(yú)郵件,結(jié)果有不少同事中招,成功提交了自己的賬號(hào)與密碼。
據(jù)搜狐內(nèi)部員工透露,之所以會(huì)上當(dāng),一是因?yàn)槿粘:芏鄨?bào)銷項(xiàng)目都是在網(wǎng)絡(luò)上進(jìn)行的,二是收到的釣魚(yú)郵件后綴是搜狐域名,這樣自然會(huì)以為是公司財(cái)務(wù)發(fā)的。
5月25日下午,搜狐在微博發(fā)布聲明稱,5月18日凌晨,搜狐部分員工郵箱收到詐騙郵件。經(jīng)調(diào)查,實(shí)為某員工使用郵件時(shí)被意外“釣魚(yú)”導(dǎo)致密碼泄露,進(jìn)而被不法分子冒充財(cái)務(wù)部盜發(fā)郵件。據(jù)統(tǒng)計(jì),共有24名員工被騙取4萬(wàn)余元。目前正在等待警方的調(diào)查進(jìn)展和處理結(jié)果。
“搜狐這種情況,我們猜測(cè)攻擊者采用的是通過(guò)代扣方式來(lái)轉(zhuǎn)錢,所以損失金額不大。”項(xiàng)茜雯說(shuō)。
“郵件攻擊是針對(duì)企業(yè)最簡(jiǎn)單,但也最有效、最具迷惑性的攻擊方法。”奇安信行業(yè)安全研究中心主任裴智勇對(duì)《中國(guó)消費(fèi)者報(bào)》記者說(shuō)。
釣魚(yú)郵件為何能用公司域名
釣魚(yú)郵件是如何實(shí)現(xiàn)使用公司域名后綴的呢?員工的郵件地址又是如何被獲取的呢?
“實(shí)現(xiàn)用公司域名發(fā)送有兩種常規(guī)手段。”小盾安全技術(shù)專家狴犴告訴《中國(guó)消費(fèi)者報(bào)》記者,“一是攻擊者通過(guò)社會(huì)工程學(xué)破解獲取公司內(nèi)部郵箱,例如攻擊者掌握相關(guān)企業(yè)郵箱系統(tǒng)的管理缺陷或安全漏洞,安插病毒獲取數(shù)據(jù);部分廢棄公共郵箱未正常回收,被不法分子利用(已離職的員工或者員工郵箱賬號(hào)密碼泄露);郵箱管理員賬號(hào)泄露(被釣魚(yú)或其他情況);內(nèi)部員工與外部攻擊者勾結(jié)(利益分成)。二是攻擊者偽造公司域名,通過(guò)技術(shù)手段,將發(fā)件人的域名包裝得與內(nèi)部域名一樣或相似。”
“這種騙術(shù)很常見(jiàn)。”中國(guó)人民公安大學(xué)偵查學(xué)院副教授王曉偉對(duì)《中國(guó)消費(fèi)者報(bào)》記者說(shuō),“這種騙術(shù)可能就是內(nèi)部員工郵箱被盜,尤其是財(cái)務(wù)人員的手機(jī)有時(shí)候無(wú)意間中了木馬,導(dǎo)致郵箱或相關(guān)賬戶泄露,不法分子通過(guò)內(nèi)部郵件系統(tǒng)給員工發(fā)帶有鏈接的郵件。而由于后綴是公司域名,內(nèi)部員工的防范心理就會(huì)比較弱,就會(huì)根據(jù)郵件要求泄露自己的賬戶信息。”
據(jù)王曉偉介紹,還有一種情況是騙子先潛入一些內(nèi)部群,或者是用一些域名相近的郵箱給某個(gè)公司或員工發(fā)有鏈接的釣魚(yú)信息,誘導(dǎo)員工一步一步地操作。“這種情況比較多,類似常見(jiàn)的ETC失效之類的操作模式,覆蓋面也比較大,不法分子就博一個(gè)概率。”他說(shuō)。
據(jù)狴犴介紹,獲取員工的郵件地址有幾個(gè)途徑,攻擊者根據(jù)公司對(duì)外留下的郵箱格式進(jìn)行枚舉猜測(cè);離職人員或內(nèi)部員工泄露;攻擊者成功攻擊郵件系統(tǒng)后臺(tái)后獲取。
互聯(lián)網(wǎng)公司為何也會(huì)被釣魚(yú)
“互聯(lián)網(wǎng)企業(yè)一般都會(huì)部署郵件安全系統(tǒng)或郵件威脅識(shí)別系統(tǒng)。”裴智勇說(shuō),“‘搜狐事件’關(guān)聯(lián)企業(yè)本身也是國(guó)內(nèi)領(lǐng)先的郵件服務(wù)商,此類系統(tǒng)肯定也是健全的。只不過(guò)釣魚(yú)郵件本身確實(shí)很難識(shí)別,難免會(huì)有漏網(wǎng)之魚(yú)。”
裴智勇表示,類似的成功攻擊事件實(shí)際上經(jīng)常發(fā)生。每年被盜的各類郵箱賬號(hào)數(shù)以百萬(wàn)計(jì),都是安全管理疏忽的表現(xiàn)。而員工被釣魚(yú)郵件所騙,也是自身安全防范意識(shí)不足的體現(xiàn)。“僅就目前能夠看到的信息來(lái)說(shuō),這次事件很可能是非常典型的OA釣魚(yú)攻擊與網(wǎng)絡(luò)詐騙攻擊相結(jié)合的連環(huán)網(wǎng)絡(luò)攻擊事件。”他說(shuō),也可能是企業(yè)有內(nèi)鬼。
裴智勇認(rèn)為,電子郵件是最早的網(wǎng)絡(luò)通信方式,設(shè)計(jì)之初并沒(méi)有任何安全考慮,普通的電子郵件基本都是明文傳輸,且沒(méi)有加密校驗(yàn)。郵件傳輸過(guò)程中不論被誰(shuí)截獲,都能讀取和修改原文,而且郵件的接收者無(wú)法校驗(yàn)郵件是否被修改過(guò)。現(xiàn)在,大型郵件服務(wù)商都設(shè)置了很多安全機(jī)制,比如,收件系統(tǒng)可以向發(fā)件系統(tǒng)發(fā)出驗(yàn)證信息,以確認(rèn)郵箱或郵件來(lái)源是否可信。不過(guò)很多企業(yè)都出于各種原因,沒(méi)有開(kāi)啟類似的校驗(yàn)功能。“但郵件明文傳輸?shù)谋举|(zhì),是其容易被篡改的根本原因。”他解釋道。
“使用郵件代理也可以產(chǎn)生這樣的效果。”裴智勇說(shuō),“軟件會(huì)先把郵件截下來(lái)發(fā)送到某個(gè)受控郵箱,再由受控郵箱把郵件正文截下來(lái),之后把郵件轉(zhuǎn)發(fā)給原定的收件人。這樣,收件人看到的發(fā)件人就是代理郵箱或中轉(zhuǎn)郵箱發(fā)出的郵件,而不是原始郵件。”
如何防范企業(yè)郵箱釣魚(yú)風(fēng)險(xiǎn)
“針對(duì)企業(yè)郵箱安全性保障有兩個(gè)建議。”狴犴說(shuō),“一是郵箱服務(wù)端的安全性保障,如企業(yè)增加服務(wù)端的郵件網(wǎng)關(guān)等安全防護(hù),加強(qiáng)郵箱安全策略的實(shí)施;二是郵箱客戶端的安全性保障,如增加郵箱多因素認(rèn)證、專有密碼的使用落實(shí)。公司內(nèi)部也可以多舉辦安全培訓(xùn)與釣魚(yú)演習(xí)等活動(dòng),提高大家的安全意識(shí)。”
針對(duì)員工注意事項(xiàng),狴犴建議,嚴(yán)格按管理員的要求強(qiáng)化自己的郵箱密碼,盡量采用多因素認(rèn)證以及強(qiáng)密碼策略。當(dāng)下攻擊手段各種各樣,針對(duì)有誘惑性內(nèi)容的郵件,一定要多個(gè)心眼,可以通過(guò)仔細(xì)核對(duì)發(fā)件人地址、及時(shí)與發(fā)件人核實(shí)等方式二次確認(rèn),并警惕不明郵件的鏈接或附件,以免落入詐騙圈套。
裴智勇認(rèn)為,企業(yè)不僅需要部署郵件安全系統(tǒng),還要經(jīng)常進(jìn)行員工安全意識(shí)教育,包括進(jìn)行各類實(shí)戰(zhàn)攻防演習(xí)。同時(shí),企業(yè)郵箱系統(tǒng)需要開(kāi)啟強(qiáng)制弱口令檢測(cè),強(qiáng)制定期改密碼,以便最大限度地降低郵箱盜號(hào)風(fēng)險(xiǎn)。(本報(bào)記者 武曉莉)