作者:劉佳
[ 搜狐員工遭遇郵件詐騙一事���,暴露出企業在安全方面的漏洞�����。一位網絡安全專家對第一財經記者分析���,不僅僅反映出員工安全意識淡薄�����,也暴露出企業IT系統的弱點��,假定企業部署零信任系統�,攻擊者就不能簡單竊取極個別員工ID后假冒身份群發郵件���。 ]
一家老牌互聯網公司��,同時也是國內較早的郵件服務提供商�,多名員工卻遭遇郵件詐騙數萬元�,近日“搜狐員工遭工資補助詐騙”引發業界熱議�����,沖上微博熱搜第一����。
5月25日�����,搜狐公司董事局主席兼CEO張朝陽終于對外回應此事��,稱“事情不像大家想象的那么嚴重���。搜狐一個員工的內部郵箱密碼被盜�����,盜賊冒充財務部發信給員工�,發現后技術部門緊急處理�����,資金損失總額少于5萬元���。不涉及對公共服務的個人郵箱”�。
據統計�,共有24名搜狐員工被騙取4萬余元人民幣�����,目前正等待警方的調查進展和處理結果���。搜狐稱此次事件不涉及搜狐對用戶提供的郵箱服務�����,并會持續升級網絡安全技術�����。
一位網絡安全專家告訴第一財經記者�����,搜狐的遭遇其實不是孤例�����,同樣操作手法的詐騙案多次出現����,已有多個互聯網公司中招�。而搜狐的案例很有可能是一起典型的OA釣魚攻擊事件�����,不僅僅反映出員工安全意識淡薄���,也暴露出企業IT系統的弱點�。
工資卡余額不翼而飛背后
此前�,一份微信群聊記錄���,搜狐員工在5月18日早晨收到一封來自搜狐財務部名為《5月份員工工資補助通知》的郵件�。這封郵件的發件地址為sohutv-legal@sohu-inc.com����,屬于搜狐內部域名�����,而且公司日常報銷確實需要提供賬號����,一些搜狐員工因此點擊�,并按要求填寫了銀行賬號等信息�。
結果員工非但沒有等來補助���,工資卡內的余額也被騙子劃走�����。
第一財經記者向多名搜狐內部員工確認了上述詐騙郵件�,有員工對記者表示��,“因為看到是內部域名所以確實放松了警惕����。”
聊天記錄顯示����,事后搜狐IT及安全部門第一時間采取緊急處理���,立刻刪除相關郵件���,并由相關部門出面�����,匯總遭遇詐騙員工的信息并向公安機關報案�����。
搜狐的遭遇并非孤例���。今年2月時���,就有員工爆料稱B站內部郵件存在釣魚鏈接�,致使員工財產受損���。
從技術角度來看�����,這一郵件詐騙是如何發生的�?
搜狐在聲明中稱�,是某員工使用郵件時被意外釣魚導致了密碼泄露�,進而被冒充財務部盜發郵件���。此后引發了24名員工“中招”�����,被騙取了銀行卡金額�。
奇安信(47.210, 0.15, 0.32%)行業安全研究中心主任裴智勇對第一財經表示���,郵件攻擊是針對企業最簡單�����,但也最有效���、最具迷惑性的攻擊方法�����。2016年的希拉里郵件門事件甚至改變了整個世界的格局�。而起因也僅僅是因為希拉里競選團隊的成員打開了一封仿冒谷歌官方的釣魚郵件��。
他稱���,搜狐的案例很有可能是一起典型的OA釣魚攻擊事件�����。通常情況下�,這種攻擊的過程大致是這樣的:攻擊者首先盜取或惡意注冊了一個公司內部郵箱���,之后再用這個郵箱發郵件給其他員工��,誘騙其在釣魚網站(仿冒的公司郵件登陸頁面)上輸入賬號和密碼����,從而騙取郵箱密碼�,攻擊者盜取內部郵箱賬號的過程����,很有可能也是通過另一封釣魚郵件完成的����。
裴智勇稱���,電子郵件是最早的網絡通信方式���,設計之初并沒有任何安全考慮�,普通的電子郵件基本都是明文傳輸�����,而且沒有加密校驗的�����。簡單地說���,就是郵件被發出之后在傳輸過程中�,不論被誰截獲��,都能讀取和修改原文����,而且如果郵件被人中途截獲��、修改���,郵件的接收者是無法校驗郵件是否被修改過的�。所以有些軟件可以把發出郵件的正文截下來�����,修改之后再發出去�。
不過�����,現在大型郵件服務商都設置了很多安全機制����,比如����,收郵件的服務系統可以向發郵件的服務系統發出一些驗證信息�,以確認郵箱或郵件來源是否可信����。不過很多企業都出于各種原因�,沒有開啟類似的校驗功能����。但郵件明文傳輸的本質是其容易被篡改的根本原因����。
此外�,還有一種簡單的方式可以實現換郵箱的效果�����。即使用郵件代理���。軟件會先把郵件截下來發送到某個受控郵箱����,再由受控郵箱把郵件正文截下來����,之后把郵件轉發給原定的收件人��。這樣����,收件人看到的發件人就是代理郵箱或中轉郵箱發出的郵件��,而不是原始郵箱��,從而使原始的發件郵箱被隱藏��。
如何防范類似風險���?
搜狐員工遭遇郵件詐騙一事��,暴露出企業在安全方面的漏洞���。前述網絡安全專家對第一財經記者分析���,假定企業部署零信任系統����,攻擊者就不能簡單竊取極個別員工ID后假冒身份群發郵件��。
他還提到�����,需要注意的是�����,釣魚網站攻擊不僅僅可以騙取員工錢財�,如果把docx釣魚網址換成勒索病毒�����,麻煩更大����,特別現在是疫情期間�,員工只能居家辦公�,沒有IT部門支持�����,大面積的勒索攻擊恢復系統的活可能都沒人干��。因此無論企業還是員工都應提高警惕�。
對于企業和員工而言�����,應該如何防范類似的風險����?
裴智勇表示�,首先�,企業應該部署郵件安全系統或郵件威脅識別系統����。本次事件關聯的企業��,本身也是國內領先的郵件服務商����,此類系統可能也是健全的���。只不過��,釣魚郵件本身確實很難識別�,難免會有漏網之魚��。而且��,類似的攻擊事件�,實際上是經常發生的���。每年被盜的各類郵箱賬號數以百萬計��,這都是安全管理疏忽的表現�����。而員工被釣魚郵件所騙�����,也是自身安全意識不足的體現���。
為了防范此類攻擊��,企業不僅需要部署郵件安全系統��,同時還要經常進行員工安全意識教育���,進行各類實戰攻防演習�����。同時�,企業郵箱系統需要開啟強制弱口令檢測���,強制定期改密碼�����,以最大限度地減輕郵箱盜號風險����。
RSS訂閱
