记者 范佳来 周頔
5月25日,#搜狐全体员工遭遇工资补助诈骗#冲上微博热搜第一。
一份流传网络的聊天记录显示,搜狐全体员工在5月18日早晨收到一封来自“搜狐财务部”名为《5月份员工工资补助通知》的邮件。聊天记录称,不少员工受骗,工资卡余额被划走。据澎湃新闻记者向多位搜狐内部员工确认,确实收到了上述诈骗邮件。
当天,搜狐通过官方微博回应称,经调查,某员工使用邮件时被意外钓鱼导致密码泄露,进而被冒充财务部盗发邮件。事发后,公司IT及安全部门第一时间做了紧急处理,并向公安机关报案。据统计,共有24名员工被骗取四万余元人民币。
澎湃新闻记者采访多位业内专家发现,类似的“工资补贴”邮件是一种常见的钓鱼诈骗,操作起来几乎没有技术难度。另外,在电商平台上也能轻易购买到此类服务,盗用他人信息发送虚假邮件,已成为一条隐蔽的黑灰产业链。
同时,根据记者的不完全统计,今年以来,国家各地有关部门已经就警惕“补贴骗局”多次发出公告,数量超过50条。
为何大厂屡遭“互联网诈骗”?专家:技术没门槛,防范有难度
5月25日中午,搜狐CEO张朝阳第一时间发微博回应“员工遭诈骗”事件。
他提到,背后原因是搜狐某员工的内部邮箱密码被盗,盗贼冒充财务部发信给员工。公司发现后,技术部门紧急处理,资金损失总额少于5万元。另外,此次发送诈骗邮件的不涉及对公共服务的个人邮箱。
澎湃新闻记者发现,类似以“工资补贴”为由头的诈骗邮件在企业内部并不罕见。今年2月份,B站也曾流传出“诈骗邮件”的截图。知情人士向记者透露,该邮件通过群发形式传播到全体员工,多位员工受骗,总计受骗金额数万元。网络流传截图显示,东风汽车、美的、芒果传媒等公司纷纷“中枪”,都有员工反映称收到假冒公司官方的钓鱼诈骗邮件。
网传东风汽车内部收到诈骗邮件截图网传芒果传媒内部截图网传美的集团内部邮件截图“这很有可能是一起典型的OA钓鱼攻击事件。”奇安信行业安全研究中心主任裴智勇告诉记者。
在他看来,通常情况下的攻击流程大致如下:攻击者首先盗取或恶意注册一个公司内部邮箱,之后再用这个邮箱发邮件给其他员工,诱骗其在钓鱼网站(仿冒的公司邮件登陆页面)上输入账号和密码,从而骗取邮箱密码。“攻击者盗取内部邮箱账号的过程,很有可能也是通过另一封钓鱼邮件完成的。”
“电子邮件本身就是一个攻击成本低,但防护有难度的互联网服务。”裴智勇表示。“只需要知道内部员工的邮箱地址,就可以通过任意一个电子邮箱发送钓鱼或带毒邮件给受害者,而不需要了解企业的内部系统。”
“搜狐遇到的诈骗邮件背后其实没有什么技术难度。”网络尖刀安全团队创始人曲子龙则向澎湃新闻记者坦言。“想要对公司实现类似的攻击非常容易,几乎可以想到几百种方式。”
不少网友疑惑的是,搜狐作为提供邮箱服务的专业企业,为何也会遇到群发“钓鱼”邮件的诈骗事件?
在曲子龙看来,类似的风险要彻底根除,难度极高。“首先是公司内部的重视程度问题,如果公司足够重视,可以在内部邮箱添加过滤指令,提升风控能力,但是这也很难防范员工个人的信息被钓鱼网站获取。”
曲子龙提到,由于公司内部工作交流极为紧密,一旦某员工通过钓鱼网站无意间泄露信息,就意味着整个公司的信息都会暴露在黑客眼中。哪怕不用邮箱进行传播,也有可能通过手机、微信等形式进行传播,彻底防范难度极高。“除非公司实施电脑监控,检查员工使用公司电脑浏览的每一个网站地址,但这又涉及到个人隐私的问题。”
是否可以通过技术手段识别钓鱼邮件?裴智勇介绍,目前采用的主要识别方法包括:识别发件邮箱是否为恶意、分析文中是否存在敏感词汇、以及判断邮件中的网址是否为钓鱼网站。如果攻击者已经盗取某个内部员工的邮箱,并且使用一个全新的钓鱼网址,单纯依靠邮件识别系统,要识别钓鱼邮件存在较大难度。
他坦言,如果是外来的群发邮件,可以通过收件人的数量判断其是否为垃圾邮件,并进行拦截。但如果是内部邮箱群发的邮件,往往很难发现。如果攻击者只是定向发给一个或几个收件人,通常手段都无法发现。
花800元可任意改邮件发件人
“钓鱼邮件”存在已久,并非是新型诈骗形式。虽然员工受骗是通过钓鱼网站,但是博得其信任的关键在于邮箱后缀名来源于公司,这又是如何做到的?
记者了解到,有许多方式可以实现换邮箱的效果,其中较常用的是使用邮件代理。裴智勇介绍,所谓的邮件代理指的是软件先把邮件截下来发送到某个受控邮箱,再由受控邮箱把邮件正文截下来,之后把邮件转发给原定的收件人。这样,收件人看到的发件人就是代理邮箱或中转邮箱发出的邮件,而不是原始邮箱,从而使原始的发件邮箱被隐藏。
“通过伪造发件协议和更改传输信息,可以轻易更改邮箱地址,从而实现从任意一个地址发送邮件。”曲子龙表示。至于背后的原理,可以形象类比为寄快递,目前国内大部分邮箱系统均无法正确识别发信人伪造攻击。“填写寄件单的时候,一般快递员更关注收件信息,不会对寄件人信息进行充分核查,这就意味着寄件人信息有充分的造假空间。”
类似的邮件代理服务,已在电商平台上形成隐蔽的黑灰产业链。澎湃新闻记者以“修改邮箱发件人”“虚拟邮箱”“改地址”等关键词在各大电商平台搜索发现,伪造邮件发送地址的服务可以轻易购买。一位商家向记者表示,无论是发件地址、时间还是发件人名称均可修改,价格约为800元/封,如果添加附件,还需要200元的服务费。
某电商平台上有关“修改邮件发送地址”的商家可以轻松搜索到“800元,这么贵?”当记者询问时,商家回应:“用别人邮箱发,你自己想想,800贵吗。”
另一位业内人士向记者展示,只需要购买相应服务器,就可以实现任意邮件地址发送电子邮件。页面中特别标注:“如果您使用本工具发送任何违反法律法规邮件,与本站无关。”
企业如何防范?可采用“零信任”方式,需要一定成本
漏洞频发的邮件系统,难道无法采取防范手段吗?业内专家给出的普遍建议是,可以使用“零信任”方法,即对所有帐号的登录和使用,进行持续监测与动态授权。
什么是“零信任”系统?腾讯安全专家李铁军告诉澎湃新闻记者,顾名思义,“零信任”关键在于打破“信任”,默认不信任企业网络内外的任何人、设备和系统,基于身份认证和授权重新构建访问控制。
“零信任”系统能够在第一时间识别出哪些帐号的活动是异常的,哪些帐号已经被盗或已经成为“内鬼”帐号,并封禁这些帐号。比如,某个员工的邮箱刚刚才办公网段进行登录,却突然跑到了外地某个地方登录,之后立即发送大量邮件给其他员工,这就很有可能是一个被盗的,有风险的帐号。
“在零信任机制的保护下,攻击者会发现只依靠用户名和密码无法登录进公司内网。”李铁军表示,系统会验证出登陆者存在异常,需要进一步通过动态口令验证身份。如果对方真的入侵到公司系统内部,要访问关键信息,零信任系统给出的验证要求会更高,可以有效防范风险。
不过,他也提到,零信任系统不是万能的,也会存在“漏网之鱼”,需要企业提供更多技术方案。“比如在后台中不断检查网络情况,每一台主机的网络会不会有异常访问,企业的网关位置会检查某一台主机是不是访问了有风险的网址,这些其实都是预警信息。”值得一提的是,零信任系统也需要一定的企业成本。
近年来,由于类似的“互联网诈骗”频发,多家企业已经提升对网络安全的重视程度。以腾讯为例,相关负责人告诉澎湃新闻记者,腾讯对于资源的访问加入常用地址、设备以及应用类型等条件的约束;在响应手段上,腾讯从最开始只有直接放行和直接拒绝两种,现在也加入像短信通知、企业微信通知,以及在访问一些关键资源时严格进行多因素身份认证等。
京东则成立集团级别的安全与风控委员会,就安全和风险问题进行统一管理。针对邮件收发场景,京东开启双因子身份验证对钓鱼邮件进行检测和拦截,同时对全员以及一些关键群组群发邮件进行限制,将安全风险最小化。
记者了解到,京东还会定期对员工进行钓鱼邮件演练,以及安全意识培训,帮助员工主动识别钓鱼邮件,并提供日常钓鱼邮件的举报途径。
今年以来有关部门已发超50条警示公告,反诈中心:未知链接不点击
要彻底清除被“钓鱼”风险,除了企业要提升风控能力外,员工个人也要加强安全风险意识。
“实际上,我们默认黑客是可以轻易获取某个人的个人密码和登陆信息的。”李铁军告诉澎湃新闻记者。“因为人们经常使用一个密码用于多种场景,因此一旦其中部分密码泄露,意味着所有密码都泄露了,破解难度并不高。”
李铁军认为,员工平时应该尽量不要使用过于简单的密码,也不要用同一密码应用不同场景。“这个案例只是手机扫码后访问了一个钓鱼网站,影响相对较小。更严重的是,打开网站时公司内部系统可能会自动安装后门程序,释放病毒,导致整个内部网络瘫痪,后续影响可能更为不堪设想。”
尽管钓鱼邮件并不鲜见,但是记者观察到,疫情以来,随着居家办公频率增高,类似的诈骗案件有增多趋势。多地公安机关、反诈中心也关注到此事,并给出提示。据记者搜索官方微博、微信等平台进行不完全统计,今年以来,包括吉林、内蒙古、青海、河南、江苏、浙江、上海、福建、广东等省市的近百家公安机关和反诈中心都曾通过微信、微博等平台发出过警惕“补贴骗局”的公告,数量超过50条。
今年2月24日,江苏省公安厅在官网转载了南京市公安局的安全防范提示,其中特别解析“领取补贴”为名的诈骗邮件的套路:犯罪嫌疑人先以技术手段攻破企业邮箱,后以人事、财务部门名义发送假通知,诱导员工填入身份证号、银行卡号、预留手机号、卡内余额等信息。紧接着,嫌疑人根据银行卡余额确定诈骗的“目标金额”,迅速网购便于变现的充值卡等虚拟物品,并再次套取银行发送的付款短信验证码,从而实现盗刷。
对此,全国多地反诈中心都给出了相近的四点提示:仔细甄别信息真假;通过官方途径了解相关信息;96110(反诈专线)来电请立即接听,要下载安装国家反诈中心APP。国家反诈中心也将反诈总结成为“三不一多”原则口诀:未知链接不点击,陌生电话不轻信,个人信息不透露,转账汇款多核实。
此外,记者还观察到,除公安机关与反诈中心外,今年以来全国多地的法院检察院、人社部门、银保监部门、多家银行以及高等院校和研究机构也都曾发布关于钓鱼邮件的诈骗防范提示。3月15日,人力资源与社会保障部在官方微信辟谣了“2022补贴”,并提示公众别被诈骗信息忽悠了。