貝 殼財經原創出品
記者 羅亦丹
編輯 徐超
5月25日,搜狐董事局主席兼CEO張朝陽表示,「搜狐一名員工的內部郵箱密碼被盜,盜賊冒充財務部發信給員工,發現後技術部門緊急處理,資金損失總額少於5萬元。」張朝陽表示此次事件不涉及對公共服務的搜狐個人郵箱。
圖/搜狐官方微博截圖
隨後搜狐官方微博發表聲明稱,5月18日凌晨,搜狐部分員工郵箱收到詐騙郵件。經調查,實為某員工使用郵件時被意外釣魚導緻密碼泄露,進而被冒充財務部盜發郵件。據統計,共有24名員工被騙取4萬餘元人民幣。目前正在等待警方的調查進展和處理結果。
貝 殼財經記者了解到,圍繞電子郵箱進行的詐騙行為並不少見,其主要包括冒充上下遊客戶、領導同事的釣魚攻擊,包含木馬,目的為竊取公司機密的病毒郵件等。
奇安信行業安全研究中心主任裴智勇對貝 殼財經記者表示,僅就目前能夠看到的信息來說,這很有可能是一起非常典型的OA釣魚攻擊與網絡詐騙攻擊相結合的連環網絡攻擊事件。
「為了防範此類攻擊,企業不僅需要部署郵件安全系統,同時還要經常進行員工安全意識教育,進行各類實戰攻防演習。同時,企業郵箱系統需要開啟強制弱口令檢測,強制定期改密碼,以最大限度地減輕郵箱盜號風險。」裴智勇稱。
01
「釣魚郵件」並非個例,
開放式體系易成網絡攻擊入口
圖/IC
所謂OA釣魚,就是攻擊者冒充系統管理員或運維人員,給員工發送釣魚郵件,誘騙員工在仿冒的釣魚網站上,輸入自己的帳號和密碼。攻擊者一旦盜取了員工的帳號和密碼之後,就會以員工的身份登錄郵箱,進而向更多的其他員工發送詐騙郵件。
裴智勇表示,對於後續的受害者來說,由於郵件是來自於內部郵箱,可信度大大提升,最終上當受騙往往在所難免。當然,盜取郵箱帳號的方法不止一種,還有很多其他方法。實際情況,還要等待有關部門的進一步調查。
搜狐方面表示,事發後,公司IT及安全部門第一時間做了緊急處理並向公安機關報案。目前正在等待警方的調查進展和處理結果。搜狐表示,這次事件不涉及到搜狐公司對用戶提供的郵件服務,「搜狐會持續升級網絡安全技術,維護公司和個人的網絡安全,更好地提供網絡服務。」
事實上,搜狐遭遇的「釣魚郵件」並非個例。
2022年1月,江蘇省公安廳連雲港市局就曾發布過警方提示,有不法分子冒充社保部門發放「社保補貼」向受害者發送詐騙郵件,受害者點擊後銀行卡遭盜刷。從2017年至今,我國的外貿企業也持續受到「商貿信」釣魚郵件的範圍攻擊,一旦用戶不慎運行釣魚郵件的附件文檔,就會被植入遠控木馬,企業機密信息將被不法黑客竊取。
論客科技(廣州)有限公司創始人、CEO陳磊華此前在接受貝 殼財經記者採訪時表示,針對企業的釣魚郵件一般是利用偽裝的電郵,欺騙收件人把帳號、口令等信息回復給指定的接收者;或引導收件人連接到特製的網頁,這些網頁通常會偽裝成和真實網站一樣,如銀行或理財的網頁,令登錄者信以為真,輸入信用卡或銀行卡號碼、帳戶名稱及密碼等而導致信息被盜。
陳磊華表示,電子郵件系統本身是開放式體系,因此特別容易成為網絡攻擊的入口。「雖然微信、微博等社交工具較為流行,一定程度上代替了電子郵件的作用,但與國外的交流目前還是以電子郵件為主,因此電子郵件也極易受到國際上的網絡攻擊,而擁有機密數據的大型公司往往容易成為被攻擊的對象」。
圖/IC
相比國內,國外公司更易遭受郵件詐騙。美國聯邦調查局日前發出警告聲稱,在2016年6月到2021年12月期間,商業電子郵件妥協(BEC)攻擊案件所涉的金額高達430億美元。根據聯邦調查局的報告,該機構的網際網路犯罪中心(IC3)一共收到了24.12萬起投訴。
「電子郵件是最早網絡通信方式,設計之初並沒有任何安全考慮,普通的電子郵件基本都是明文傳輸,而且沒有加密校驗的。簡單地說,有些軟體可以把發出郵件的正文截下來,修改之後再發出去。」裴智勇告訴貝 殼財經記者,「不過,現在大型郵件服務商都設置了很多安全機制,比如,收郵件的服務系統可以向發郵件的服務系統發出一些驗證信息,以確認郵箱或郵件來源是否可信等。」
對於個人可能遭遇的詐騙郵件,連雲港市警方提示稱,政務服務不會通過郵件形式提醒,凡是遇到不明連結、二維碼務必謹慎操作;簡訊驗證碼更不能隨意告知他人。同時提醒各大企業,定期檢查內部郵箱登錄模式、改設複雜密碼、開通安全認證,提醒員工如遇類似情況,首先要與公司聯繫核實情況。
02
郵箱安全如何保護?
圖/IC
5月25日,安恆信息安全專家在接受貝 殼財經記者採訪時表示,郵箱的安全保護是多維的,企業郵件伺服器防護主要包括伺服器本身系統安全防護、郵件服務安全防護、郵件內容安全防護,「其中前兩條都屬於常規防護,第三條郵件內容安全防護現在普及率還不高。 郵件內容安全防護主要依靠對發件人帳號審計、ueba審計、郵件內容人工智慧審計、郵件附件文件沙箱審計、郵件包含的超連結網站安全審計等,並配套對群發郵件的範圍和數量進行管理的安全策略,才可以有效及時地發現威脅、攔截威脅,最大程度上限制威脅的危害性。」
陳磊華表示,對於攻擊者「蓄謀已久」的APT攻擊(高級可持續威脅攻擊),被攻擊企業往往很難招架。「攻擊者想要攻擊一家企業的郵箱,可以採取『迂迴』的方式,如先滲透其合作夥伴的郵箱,再從合作夥伴的郵箱發來合作方案等釣魚郵件,被攻擊企業很難會不中招。」
在他看來,目前傳統的釣魚郵件、垃圾郵件、病毒郵件等威脅依然是郵件安全面臨的主要挑戰,此類安全問題無法根除,是一場持久戰。企業要做到採用高安全等級的郵箱系統及配套防禦系統,提升整體信息安全等級如定期更新密碼,開啟郵箱異常提醒、IP限制等基礎安全策略。
此外,用戶安全意識問題也同樣不容小覷,「人往往是安全鎖鏈中最脆弱的一環,由安全意識不足造成的釣魚、信息泄露等事件時有發生。」陳磊華表示,個人用戶需要做到安裝殺毒軟體,開啟自動掃描郵件附件,避免使用弱密碼並定期更換,設置郵箱帳號登錄保護,不盲目打開或者點擊郵件中的連結和附件,對信任的朋友或者同事的郵件保持警惕心,必要時電話確認。
裴志勇表示,為了防範此類攻擊,企業不僅需要部署郵件安全系統,同時還要經常進行員工安全意識教育,進行各類實戰攻防演習。同時,企業郵箱系統需要開啟強制弱口令檢測,強制定期改密碼,以最大限度地減輕郵箱盜號風險。
安恆信息安全專家表示,對於主要依靠帳號、密碼、多因子認證等方式保護的個人郵箱,要養成不在陌生主機上使用帳號密碼登錄個人郵箱的習慣,更多地使用掃描二維碼或者其他一次一密的方式登錄認證,使用完畢後記得退出。