5月25日,搜狐员工遭工资补助诈骗一事在社交媒体上受到关注,微博热搜阅读量2.3亿,比得上周杰伦发文感谢大家看演唱会的热搜阅读量。
这起事件的反差点在于,一个运营邮箱业务的互联网公司,自己员工却被邮件诈骗。5月25日,搜狐董事局主席兼CEO张朝阳回应说,事情不像大家想象那么严重。是一个员工内部邮箱密码被盗,盗贼冒充财务部发信给员工,资金损失总额少于5万元。不涉及对公共服务的个人邮箱。
腾讯安全专家李铁军告诉经济观察网记者,今天一家知名的互联网公司,被黑客用一模一样的攻击手法攻击了一次。因为这家公司已经知道搜狐这次事件,所以IT部门介入的很快,基本上一发现就控制住了。
“最近这种事情发生的单位挺多的,黑客攻击的目标多且集中,而且他们的手法都差不多,都是说给工资补贴,基本完全一样。”李铁军说,这个骗术一点都不新鲜,存在很长时间了,但近期比较集中的出现,因此是一件值得关注的事,估计国内受害者相当多。
01
员工领补助却遭遇诈骗
搜狐员工补助诈骗门发生于5月18日。有搜狐员工当天早晨收到一封来自“搜狐财务部”名为《5月份员工工资补助通知》的邮件,结果却遭遇诈骗,搜狐员工输入了银行账号等信息之后,工资卡里的余额就被划走了。
搜狐公司官方微博25日发布声明称,5月18日凌晨,搜狐部分员工邮箱收到诈骗邮件。经调查,实为某员工使用邮件时被意外钓鱼导致密码泄露,进而被冒充财务部盗发邮件。
事发后搜狐已向公安机关报案。据统计,共有24名员工被骗取4万余元,目前正在等待警方的调查进展和处理结果。搜狐表示,这次事件不涉及到搜狐对用户提供的邮件服务。
奇安信行业安全研究中心主任裴智勇告诉记者,这是一起非常典型的OA钓鱼攻击与网络诈骗攻击相结合的连环网络攻击事件。攻击者一旦盗取了员工的帐号和密码之后,就会以员工的身份登录邮箱,进而向更多的其他员工发送诈骗邮件。对于后续的受害者来说,由于邮件是来自于内部邮箱,可信度大大提升,最终上当受骗往往在所难免。
360集团创始人、董事长周鸿祎今天下午2点也在微博发文,提到了邮件诈骗事件。他说,现在大量的攻击防火墙很难防范,甚至仅凭一个漏洞就能让人神不知鬼不觉地被攻击,因为你拦不住邮件,尤其邮件看起来还非常正常。比如,假借单位的名义给大家发个邮件,这是今年加薪名单,这是今年要提拔人的名单,这种做成Excel表格,做成PDF、Word文档,你一定会忍不住看下。只要你打开看,就会有恶意程序或代码利用漏洞入驻,然后对你发起进一步网络攻击。
02
能否可以有预警
邮件攻击看似简单,但却是针对企业最简单,也最有效、最具迷惑性的攻击方法。裴智勇提到,2016年的希拉里邮件门事件甚至改变了整个世界的格局,而起因也仅仅是因为希拉里竞选团队的成员打开了一封仿冒谷歌官方的钓鱼邮件。
面对这样的邮件攻击,能否有一些办法,尽可能减少损失?
李铁军告诉记者,类似事件之所以能发生,一个基本原因就是,公司某个员工账号被盗,攻击者可以冒用企业员工的身份进入到网络当中干坏事。如果堵住这个漏洞,就有可能做到防范钓鱼邮件。目前,谷歌、微软、苹果等国外大型互联网公司,正在让大家一起抛弃密码,改为使用零信任(或者多重验证)技术,这种技术已经普遍采用。
“我们圈子里认为账号密码这种东西基本上已经都被黑客掌握了,因为大部分人使用用户名密码的时候是没有复杂性要求的,一码通用的情况极其普遍。”李铁军说。
国内现在也有一些企业,会要求员工做人脸识别,或用短信验证码,或使用手机动态密码验证,如果企业有这样的安全机制,员工账号被盗所造成的损失就会缩小。在零信任机制的保护下,攻击者即使拿到员工用户名密码去登录邮箱,也会发现登录不进去,第一关就卡住了。
当然,即使有了零信任安全技术,企业邮箱也仍有被攻击的可能性。为了防范此类攻击,裴智勇建议,企业不仅需要部署邮件安全系统,同时还要经常进行员工安全意识教育,进行各类实战攻防演习。同时,企业邮箱系统需要开启强制弱口令检测,强制定期改密码,以最大限度的减轻邮箱盗号风险。