導讀:問題不僅僅出在員工安全意識淡薄,IT系統的弱點也暴露了,假定企業部署零信任系統,攻擊者就不能簡單竊取極個別員工ID後假冒身份羣發郵件。

作者 | 劉佳

一家老牌互聯網公司,同時也是國內較早的郵件服務提供商,多名員工卻遭遇郵件詐騙數萬元,近日“搜狐員工遭工資補助詐騙”引發業界熱議,衝上微博熱搜第一。

▲圖源:網絡

▲圖源:網絡

5月25日,搜狐公司董事局主席兼CEO張朝陽終於對外回應此事,稱“事情不像大家想象那麼嚴重。搜狐一個員工的內部郵箱密碼被盜,盜賊冒充財務部發信給員工,發現後技術部門緊急處理,資金損失總額少於5萬元。不涉及對公共服務的個人郵箱。”

剛剛,搜狐在其官方微博發佈聲明,回應此事件。聲明提到,據統計,共有24名員工被騙取四萬餘元人民幣。目前正在等待警方的調查進展和處理結果。

一位網絡安全專家告訴第一財經記者,搜狐的遭遇其實不是孤例,同樣操作手法的詐騙案多次出現,已有多個互聯網公司中招。而搜狐的案例很有可能是一起典型的OA釣魚攻擊事件,而問題的原因不僅僅是員工意識淡薄,企業IT系統的弱點也因此暴露。

工資卡餘額不翼而飛背後

此前,一份微信羣聊記錄,搜狐全體員工在5月18日早晨收到一封來自搜狐財務部名爲《5月份員工工資補助通知》的郵件。這封郵件的發件地址爲[email protected],屬於搜狐內部域名,且公司日常報銷也確實需要提供賬號,一些搜狐員工因此點擊進去,並按要求填寫了銀行賬號等信息。

但員工非但沒有等來補助,工資卡內的餘額也被划走。

第一財經記者向多名搜狐內部員工確認了上述詐騙郵件,並有員工對記者表示,“因爲看到是內部郵箱所以確實放鬆了警惕。”

聊天記錄顯示,事後搜狐迅速採取了行動,包括立刻刪除了相關郵件,並由相關部門出面,彙總遭遇詐騙員工的信息併到派出所報案。

搜狐的遭遇並非孤立。今年2月時,就有員工爆料稱B站內部郵件存在釣魚鏈接,致使員工財產受損。

從技術角度來看,這一郵件詐騙是如何發生的?

奇安信行業安全研究中心主任裴智勇對第一財經表示,郵件攻擊是針對企業最簡單,但也最有效、最具迷惑性的攻擊方法。2016年的希拉里郵件門事件甚至改變了整個世界的格局。而起因也僅僅是因爲希拉里競選團隊的成員打開了一封仿冒谷歌官方的釣魚郵件。

他稱,搜狐的案例很有可能是一起典型的OA釣魚攻擊事件。通常情況下,這種攻擊的過程大致是這樣的:攻擊者首先盜取或惡意註冊了一個公司內部郵箱,之後再用這個郵箱發郵件給其他員工,誘騙其在釣魚網站(仿冒的公司郵件登陸頁面)上輸入賬號和密碼,從而騙取郵箱密碼,攻擊者盜取內部郵箱賬號的過程,很有可能也是通過另一封釣魚郵件完成的。

裴智勇稱,電子郵件是最早網絡通信方式,設計之初並沒有任何安全考慮,普通的電子郵件基本都是明文傳輸,而且沒有加密校驗的。簡單的說,就是郵件被髮出之後在傳輸過程中,不論被誰截獲,都能讀取和修改原文,而且如果郵件被人中途截獲、修改,郵件的接收者是無法校驗郵件是否被修改過的。所以有些軟件可以把發出郵件的正文截下來,修改之後再發出去。

不過,現在大型郵件服務商都設置了很多安全機制,比如,收郵件的服務系統可以向發郵件的服務系統發出一些驗證信息,以確認郵箱或郵件來源是否可信。不過很多企業都出於各種原因,沒有開啓類似的校驗功能。但郵件報文明文傳輸的本質是其容易被篡改的根本原因。

此外,還有一種簡單的方式可以實現換郵箱的效果。即使用郵件代理。軟件會先把郵件截下來發送到某個受控郵箱,再由受控郵箱把郵件正文截下來,之後把郵件轉發給原定的收件人。這樣,收件人看到的發件人就是代理郵箱或中轉郵箱發出的郵件,而不是原始郵箱,從而使原始的發件郵箱被隱藏。

如何防範類似風險?

搜狐員工遭遇郵件詐騙一事,暴露出企業在安全方面的漏洞。一位網絡安全專家對第一財經記者分析,問題不僅僅出在員工安全意識淡薄,IT系統的弱點也暴露了,假定企業部署零信任系統,攻擊者就不能簡單竊取極個別員工ID後假冒身份羣發郵件。

他還提到,需要注意的是,釣魚網站攻擊不僅僅可以騙取員工錢財,如果把docx釣魚網址換成勒索病毒,麻煩更大,特別現在是疫情期間,員工只能居家辦公,沒有IT部門支持,大面積的勒索攻擊恢復系統的活可能都沒人幹。因此無論企業還是員工都應提高警惕。

對於企業和員工而言,應該如何防範類似的風險?

裴智勇表示,首先,企業應該部署郵件安全系統或郵件威脅識別系統。本次事件關聯的企業,本身也是國內領先的郵件服務商,此類系統可能也是健全的。只不過,釣魚郵件本身確實很難識別難免會有漏網之魚。而且,類似的攻擊事件,類似的成功攻擊的事件,實際上是經常發生的。每年被盜的各類郵箱賬號數以百萬計,這都是安全管理疏忽的表現。而員工被釣魚郵件所騙,也是自身安全意識不足的體現。

爲了防範此類攻擊,企業不僅需要部署郵件安全系統,同時還要經常進行員工安全意識教育,進行各類實戰攻防演習。同時,企業郵箱系統需要開啓強制弱口令檢測,強制定期改密碼,以最大限度的減輕郵箱盜號風險。

相關文章