一家老牌互联网公司,同时也是国内较早的邮件服务提供商,多名员工却遭遇邮件诈骗数万元,近日“搜狐员工遭工资补助诈骗”引发业界热议,冲上微博热搜第一。
5月25日,搜狐公司董事局主席兼CEO张朝阳终于对外回应此事,称“事情不像大家想象那么严重。搜狐一个员工的内部邮箱密码被盗,盗贼冒充财务部发信给员工,发现后技术部门紧急处理,资金损失总额少于5万元。不涉及对公共服务的个人邮箱。”
据统计,共有24名搜狐员工被骗取4万余元人民币,目前正等待警方的调查进展和处理结果。搜狐称此次事件不涉及搜狐对用户提供的邮箱服务,并会持续升级网络安全技术。
一位网络安全专家告诉第一财经记者,搜狐的遭遇其实不是孤例,同样操作手法的诈骗案多次出现,已有多个互联网公司中招,操作手法大同小异。而搜狐的案例很有可能是一起典型的OA钓鱼攻击事件,问题的原因不仅仅是员工意识淡薄,企业IT系统的弱点也因此暴露。
工资卡余额不翼而飞背后
此前,一份微信群聊记录,搜狐员工在5月18日早晨收到一封来自搜狐财务部名为《5月份员工工资补助通知》的邮件。这封邮件的发件地址为sohutv-legal@sohu-inc.com,属于搜狐内部域名,而且公司日常报销确实需要提供账号,一些搜狐员工因此点击,并按要求填写了银行账号等信息。
结果员工非但没有等来补助,工资卡内的余额也被骗子划走。
第一财经记者向多名搜狐内部员工确认了上述诈骗邮件,有员工对记者表示,“因为看到是内部域名所以确实放松了警惕。”
聊天记录显示,事后搜狐IT及安全部门第一时间采取紧急处理,立刻删除相关邮件,并由相关部门出面,汇总遭遇诈骗员工的信息并向公安机关报案。
搜狐的遭遇并非孤例。今年2月时,就有员工爆料称B站内部邮件存在钓鱼链接,致使员工财产受损。
从技术角度来看,这一邮件诈骗是如何发生的?
搜狐在声明中称,是某员工使用邮件时被意外钓鱼导致了密码泄露,进而被冒充财务部盗发邮件。此后引发了24名员工“中招”,被骗取了银行卡金额。
一般来说,网络钓鱼结合了社会工程学和欺诈技巧,通常利用人性的弱点:贪婪、恐惧、好奇、同情、对权威的敬畏、认知的局限性及偏差来实现。网络钓鱼的形式可能是一个邮件附件,会加载恶意软件到电脑;也可能为一个非法网站的链接,诱骗用户下载恶意软件或泄露个人信息甚至是窃取重要的凭据;或者是一个伪造的登录页面,来骗取用户登录凭据。
奇安信行业安全研究中心主任裴智勇对第一财经表示,邮件攻击是针对企业最简单,但也最有效、最具迷惑性的攻击方法。2016年的希拉里邮件门事件甚至改变了整个世界的格局。而起因也仅仅是因为希拉里竞选团队的成员打开了一封仿冒谷歌官方的钓鱼邮件。
他称,搜狐的案例很有可能是一起典型的OA钓鱼攻击事件。通常情况下,这种攻击的过程大致是这样的:攻击者首先盗取或恶意注册了一个公司内部邮箱,之后再用这个邮箱发邮件给其他员工,诱骗其在钓鱼网站(仿冒的公司邮件登陆页面)上输入账号和密码,从而骗取邮箱密码,攻击者盗取内部邮箱账号的过程,很有可能也是通过另一封钓鱼邮件完成的。
裴智勇称,电子邮件是最早的网络通信方式,设计之初并没有任何安全考虑,普通的电子邮件基本都是明文传输,而且没有加密校验的。简单地说,就是邮件被发出之后在传输过程中,不论被谁截获,都能读取和修改原文,而且如果邮件被人中途截获、修改,邮件的接收者是无法校验邮件是否被修改过的。所以有些软件可以把发出邮件的正文截下来,修改之后再发出去。
不过,现在大型邮件服务商都设置了很多安全机制,比如,收邮件的服务系统可以向发邮件的服务系统发出一些验证信息,以确认邮箱或邮件来源是否可信。不过很多企业都出于各种原因,没有开启类似的校验功能。但邮件报文明文传输的本质是其容易被篡改的根本原因。
此外,还有一种简单的方式可以实现换邮箱的效果。即使用邮件代理。软件会先把邮件截下来发送到某个受控邮箱,再由受控邮箱把邮件正文截下来,之后把邮件转发给原定的收件人。这样,收件人看到的发件人就是代理邮箱或中转邮箱发出的邮件,而不是原始邮箱,从而使原始的发件邮箱被隐藏。
如何防范类似风险?
搜狐员工遭遇邮件诈骗一事,暴露出企业在安全方面的漏洞。腾讯安全专家李铁军对第一财经记者分析,问题不仅仅出在员工安全意识淡薄,企业IT系统的弱点也暴露了,假定企业部署零信任系统,攻击者就不能简单窃取极个别员工ID后假冒身份群发邮件。
李铁军介绍,零信任架构是一种网络数据安全的端到端方法,关注身份、凭证、访问管理、运营、终端、主机环境和互联的基础设施,其首要目标是基于身份进行细粒度的访问控制,以便应对愈发严峻的越权横向移动风险。
他还提到,需要注意的是,钓鱼网站攻击不仅仅可以骗取员工钱财,如果把docx钓鱼网址换成勒索病毒,麻烦更大,特别现在是疫情期间,员工只能居家办公,没有IT部门支持,大面积的勒索攻击恢复系统的活可能都没人干。因此无论企业还是员工都应提高警惕。
对于企业和员工而言,应该如何防范类似的风险?
李铁军对记者表示,“钓鱼”攻击是世界性普遍问题,全球范围内的攻击手法都差不多,且技术门槛较低。但不是所有公司都能够采用相对复杂的、需要投入一定成本的技术方案,对于小公司来说,更需要解决的是对员工进行网络安全防护方面的意识培训。
裴智勇也对记者表示,首先,企业应该部署邮件安全系统或邮件威胁识别系统。本次事件关联的企业,本身也是国内领先的邮件服务商,此类系统可能也是健全的。只不过,钓鱼邮件本身确实很难识别,难免会有漏网之鱼。而且,类似的攻击事件,实际上是经常发生的。每年被盗的各类邮箱账号数以百万计,这都是安全管理疏忽的表现。而员工被钓鱼邮件所骗,也是自身安全意识不足的体现。
为了防范此类攻击,企业不仅需要部署邮件安全系统,同时还要经常进行员工安全意识教育,进行各类实战攻防演习。同时,企业邮箱系统需要开启强制弱口令检测,强制定期改密码,以最大限度地减轻邮箱盗号风险。(记者吕倩对本文亦有贡献)