25日午间,搜狐公司董事局主席兼CEO张朝阳对近日引发热议的“搜狐全体员工遭遇工资补助诈骗”一事作出回应,称“事情不像大家想象那么严重。搜狐一个员工的内部邮箱密码被盗,盗贼冒充财务部发信给员工,发现后技术部门紧急处理,资金损失总额少于5万元。不涉及对公共服务的个人邮箱。”
中新经纬记者注意到,近两年,通过企业内部邮箱,以“工资补助”“领取补贴”等为名义的诈骗高发。这种新型网络诈骗是如何实现的?暴露出哪些问题?用户应如何提高警惕?
“一看是内部邮箱,想都没想就填了”
据了解,5月18日早上,搜狐员工收到了一封来自“搜狐财务部”名为《5月份员工工资补助通知》的邮件。这封邮件的发件地址为sohutv-legal@sohu-inc.com,属于搜狐内部域名。由于搜狐日常报销确实需要提供银行账号,一些员工因此点击进入链接,并按要求填写了银行账号等信息。结果员工非但没有等来补助,工资卡内的余额也被划走。
25日,在张朝阳回应此事后,搜狐公司也作出回应,称“经调查,实为某员工使用邮件时被意外钓鱼导致密码泄露,进而被冒充财务部盗发邮件。据统计,共有24名员工被骗取四万余元人民币。目前正在等待警方的调查进展和处理结果。”
搜狐员工的遭遇并非个例,而且此种形式的诈骗也非首次发生。
2021年9月以及2022年1月,媒体相继报道了有人被这种新型“钓鱼”邮件“成功”诈骗的消息。有被骗者表示,由于是企业内部邮箱发来的,而且又是好事,“想都没想就填了”。中新经纬记者梳理发现,这种类型的诈骗迷惑性很强,均通过企业内部邮箱发送,名目较为正式,或是通知自行申领工资补贴,或是打着人社部旗号发放社保补贴。
根据奇安信威胁情报中心的持续跟踪,推测该钓鱼活动可能于2021年12月底左右开始。自活动开始以来,约有6000个域名被用于攻击中。目前该钓鱼活动还在持续进行中,攻击者仍在不断更新升级系统,更新基础设施。
“邮箱诈骗”是如何实现的?
仅靠一封邮件,诈骗分子是如何得逞的?张朝阳以及搜狐的回应,部分还原了这起邮件诈骗的过程。
奇安信行业安全研究中心主任裴智勇对中新经纬记者表示,邮件攻击,是针对企业最简单但也最有效、最具迷惑性的攻击方法。目前搜狐方面没有具体说明诈骗过程。据裴智勇推测,搜狐的案例很有可能是一起典型的OA钓鱼攻击事件。
“通常情况下,这种攻击的过程大致是这样的:攻击者首先盗取或恶意注册了一个公司内部邮箱,之后再用这个邮箱发邮件给其他员工,诱骗其在钓鱼网站(仿冒的公司邮件登陆页面)上输入账号和密码,从而骗取邮箱密码。攻击者盗取内部邮箱账号的过程,很有可能也是通过另一封钓鱼邮件完成的。”裴智勇说。
小盾安全技术专家对中新经纬记者表示,不法分子获取带有公司域名的邮箱有两种常见手段。一是通过社会工程学破解获取内部邮箱,这一手段包括不法分子掌握相关企业邮箱系统的管理缺陷或安全漏洞,安插“病毒”获取数据;部分废弃公共邮箱未正常回收,被不法分子利用;邮箱管理员账号泄露;内部员工与外部黑产勾结。二是不法分子伪造公司域名,通过技术手段,将发件人的域名包装得与内部域名一样或相似。
对于这类诈骗是如何实施的,小盾安全技术专家介绍,不法分子通过以公司部门名义向公司员工发送“假通知”后,诱导其打开相应链接并在界面中填写个人身份和银行卡信息。盗取相关信息后,不法分子采用代扣(快捷支付的一种)方式,利用互联网各类平台或者支付通道完成小额度的支付或者代扣服务来将钱转走。此外,不法分子也可以根据员工填写的信息和密码,直接登录一些用户已经绑定完成的平台进行消费,比如某一些购物平台,这样就可以绕开需要绑定银行卡的验证码交互。
那么,这类邮件在公司内部群发时,有没有可能被安全系统过滤掉?
裴智勇介绍,电子邮件本身是一个攻击成本低,但防护有难度的互联网服务。攻击者只需要知道内部员工的邮箱地址,就可以通过任意一个电子邮箱发送钓鱼或带毒邮件给受害者,而不需要了解企业的网络结构或内部系统。正是由于电子邮件系统的这一特点,很多网络战组织、黑产团伙,都会首选电子邮箱作为发起攻击的起点。
如何防范风险?
裴智勇认为,首先,企业应该部署邮件安全系统或邮件威胁识别系统。搜狐公司本身也是国内领先的邮件服务商,此类系统应该也是健全的。只不过,钓鱼邮件本身确实很难识别,难免会有漏网之鱼。而且,类似的攻击事件,类似的成功攻击事件,实际上是经常发生的。每年被盗的各类邮箱账号数以百万计,这都是安全管理疏忽的表现。而员工被钓鱼邮件所骗,也是自身安全意识不足的体现。
裴智勇指出,为了防范此类攻击,企业不仅需要部署邮件安全系统,同时还要经常进行员工安全意识教育,进行各类实战攻防演习。同时,企业邮箱系统需要开启强制弱口令检测,强制定期改密码,以最大限度地减轻邮箱盗号风险。
小盾安全技术专家建议,针对来历不明,或有诱惑性内容的邮件,一定要多个心眼,及时进行电话或IM与对方核实,以免落入诈骗圈套。
(中新经纬APP)
编辑/樊宏伟