中國(guó)消費(fèi)者報(bào)報(bào)道（記者武曉莉）5月25日，“搜狐全體員工遭遇工資補(bǔ)助詐騙”沖上微博熱搜。

一份網(wǎng)傳聊天記錄顯示，搜狐全體員工在5月18日早晨收到一封來(lái)自“搜狐財(cái)務(wù)部”名為《5月份員工工資補(bǔ)助通知》的郵件。根據(jù)該郵件提供的操作流程，大量員工按照附件掃碼，并填寫(xiě)了銀行賬號(hào)等信息，可最終不但沒(méi)有等到所謂的補(bǔ)助，工資卡內(nèi)的余額也被劃走。5月25日，搜狐創(chuàng)始人、董事局主席兼首席執(zhí)行官?gòu)埑?yáng)在社交平臺(tái)發(fā)文確認(rèn)了這一傳聞，并表示受損金額不是很大。

專(zhuān)家稱(chēng)，這種釣魚(yú)詐騙形式并不少見(jiàn)，有的安全公司在做釣魚(yú)郵件演習(xí)時(shí)，有不少員工當(dāng)真。那么，員工郵件是如何被獲取的？釣魚(yú)郵件詐騙是如何實(shí)現(xiàn)的？不法分子將錢(qián)轉(zhuǎn)走，究竟進(jìn)行了哪些操作？不法分子為何能實(shí)現(xiàn)用公司域名的郵件群發(fā)？企業(yè)郵箱的安全性如何保證？員工又該注意什么？《中國(guó)消費(fèi)者報(bào)》記者對(duì)此進(jìn)行了深入調(diào)查。

日常安全演習(xí)真“釣”到了員工

“我們公司曾經(jīng)做過(guò)一個(gè)類(lèi)似的釣魚(yú)郵件演習(xí)，有不少同事當(dāng)真了?！蓖芸萍加邢薰臼袌?chǎng)部的項(xiàng)茜雯對(duì)《中國(guó)消費(fèi)者報(bào)》記者說(shuō)。據(jù)記者了解，類(lèi)似同盾科技這樣的網(wǎng)絡(luò)安全專(zhuān)業(yè)公司，日常都會(huì)進(jìn)行各種網(wǎng)絡(luò)安全演練。項(xiàng)茜雯發(fā)給記者的公司郵件截圖顯示，該公司安全部門(mén)以端午節(jié)抽獎(jiǎng)為由發(fā)送釣魚(yú)郵件，結(jié)果有不少同事中招，成功提交了自己的賬號(hào)與密碼。

據(jù)搜狐內(nèi)部員工透露，之所以會(huì)上當(dāng)，一是因?yàn)槿粘：芏鄨?bào)銷(xiāo)項(xiàng)目都是網(wǎng)絡(luò)上進(jìn)行的，二是收到的釣魚(yú)郵件后綴是搜狐域名，這樣自然會(huì)以為是公司財(cái)務(wù)發(fā)的。

5月25日下午，搜狐在微博發(fā)布聲明稱(chēng)，5月18日凌晨，搜狐部分員工郵箱收到詐騙郵件。經(jīng)調(diào)查，實(shí)為某員工使用郵件時(shí)被意外釣魚(yú)導(dǎo)致密碼泄露，進(jìn)而被不法分子冒充財(cái)務(wù)部盜發(fā)郵件。據(jù)統(tǒng)計(jì)，共有24名員工被騙取4萬(wàn)余元。目前正在等待警方的調(diào)查進(jìn)展和處理結(jié)果?！八押@種情況，我們猜測(cè)攻擊者采用的是通過(guò)代扣方式來(lái)轉(zhuǎn)錢(qián)，所以損失金額不大?！表?xiàng)茜雯說(shuō)。

“郵件攻擊是針對(duì)企業(yè)最簡(jiǎn)單，但也最有效、最具迷惑性的攻擊方法?！逼姘残判袠I(yè)安全研究中心主任裴智勇對(duì)《中國(guó)消費(fèi)者報(bào)》記者說(shuō)。

釣魚(yú)郵件為何能用公司域名

釣魚(yú)郵件是如何實(shí)現(xiàn)使用公司域名后綴的呢？員工的郵件地址又是如何被獲取的呢？

“實(shí)現(xiàn)用公司域名發(fā)送有兩種常規(guī)手段。”小盾安全技術(shù)專(zhuān)家狴犴告訴《中國(guó)消費(fèi)者報(bào)》記者，“一是攻擊者通過(guò)社會(huì)工程學(xué)破解獲取公司內(nèi)部郵箱，例如攻擊者掌握相關(guān)企業(yè)郵箱系統(tǒng)的管理缺陷或安全漏洞，安插病毒獲取數(shù)據(jù)；部分廢棄公共郵箱未正?；厥?，被不法分子利用（已離職的員工或者員工郵箱賬號(hào)密碼泄露）；郵箱管理員賬號(hào)泄露（被釣魚(yú)或其他情況）；內(nèi)部員工與外部攻擊者勾結(jié)（利益分成）。二是攻擊者偽造公司域名，通過(guò)技術(shù)手段，將發(fā)件人的域名包裝得與內(nèi)部域名一樣或相似。”

“這種騙術(shù)很常見(jiàn)，尤其是去年最多?！敝袊?guó)人民公安大學(xué)偵查學(xué)院副教授王曉偉對(duì)《中國(guó)消費(fèi)者報(bào)》記者說(shuō)，“這種騙術(shù)可能就是內(nèi)部員工郵箱被盜，尤其是財(cái)務(wù)人員的手機(jī)有時(shí)候無(wú)意間中了木馬，導(dǎo)致郵箱或相關(guān)賬戶(hù)泄露，不法分子通過(guò)內(nèi)部郵件系統(tǒng)給員工發(fā)帶有鏈接的郵件。而由于后綴是公司域名，內(nèi)部員工的防范心理就會(huì)比較弱，就會(huì)根據(jù)郵件要求泄露自己的賬戶(hù)信息?！?/p>

據(jù)王曉偉介紹，還有一種情況是騙子先潛入一些內(nèi)部群，或者是用一些域名相近的郵箱給某個(gè)公司或員工發(fā)有鏈接的釣魚(yú)信息，誘導(dǎo)員工一步一步地操作?！斑@種情況比較多，類(lèi)似常見(jiàn)的ETC失效之類(lèi)的操作模式，覆蓋面也比較大，不法分子就博一個(gè)概率?！彼f(shuō)。

據(jù)狴犴介紹，獲取員工的郵件地址有幾個(gè)途徑，攻擊者根據(jù)公司對(duì)外留下的郵箱格式進(jìn)行枚舉猜測(cè)；離職人員或內(nèi)部員工泄露；攻擊者成功攻擊郵件系統(tǒng)后臺(tái)后獲取。

互聯(lián)網(wǎng)公司為何也會(huì)被釣魚(yú)

“互聯(lián)網(wǎng)企業(yè)一般都會(huì)部署郵件安全系統(tǒng)或郵件威脅識(shí)別系統(tǒng)?！迸嶂怯抡f(shuō)，“‘搜狐事件’關(guān)聯(lián)企業(yè)本身也是國(guó)內(nèi)領(lǐng)先的郵件服務(wù)商，此類(lèi)系統(tǒng)肯定也是健全的。只不過(guò)釣魚(yú)郵件本身確實(shí)很難識(shí)別，難免會(huì)有漏網(wǎng)之魚(yú)。”

裴智勇表示，類(lèi)似的成功攻擊事件實(shí)際上經(jīng)常發(fā)生。每年被盜的各類(lèi)郵箱賬號(hào)數(shù)以百萬(wàn)計(jì)，都是安全管理疏忽的表現(xiàn)。而員工被釣魚(yú)郵件所騙，也是自身安全防范意識(shí)不足的體現(xiàn)。“僅就目前能夠看到的信息來(lái)說(shuō)，這次事件很可能是非常典型的OA釣魚(yú)攻擊與網(wǎng)絡(luò)詐騙攻擊相結(jié)合的連環(huán)網(wǎng)絡(luò)攻擊事件?！彼f(shuō)，也可能是企業(yè)有內(nèi)鬼。

裴智勇認(rèn)為，電子郵件是最早的網(wǎng)絡(luò)通信方式，設(shè)計(jì)之初并沒(méi)有任何安全考慮，普通的電子郵件基本都是明文傳輸，且沒(méi)有加密校驗(yàn)。郵件傳輸過(guò)程中不論被誰(shuí)截獲，都能讀取和修改原文，而且郵件的接收者無(wú)法校驗(yàn)郵件是否被修改過(guò)?，F(xiàn)在，大型郵件服務(wù)商都設(shè)置了很多安全機(jī)制，比如，收件系統(tǒng)可以向發(fā)件系統(tǒng)發(fā)出驗(yàn)證信息，以確認(rèn)郵箱或郵件來(lái)源是否可信。不過(guò)很多企業(yè)都出于各種原因，沒(méi)有開(kāi)啟類(lèi)似的校驗(yàn)功能。“但郵件報(bào)文明文傳輸?shù)谋举|(zhì)，是其容易被篡改的根本原因?！彼忉尩馈?/p>

“使用郵件代理也可以產(chǎn)生這樣的效果?！迸嶂怯抡f(shuō)，“軟件會(huì)先把郵件截下來(lái)發(fā)送到某個(gè)受控郵箱，再由受控郵箱把郵件正文截下來(lái)，之后把郵件轉(zhuǎn)發(fā)給原定的收件人。這樣，收件人看到的發(fā)件人就是代理郵箱或中轉(zhuǎn)郵箱發(fā)出的郵件，而不是原始郵件?！?/p>

如何防范企業(yè)郵箱釣魚(yú)風(fēng)險(xiǎn)

“針對(duì)企業(yè)郵箱安全性保障有兩個(gè)建議?！贬碚f(shuō)，“一是郵箱服務(wù)端的安全性保障，如企業(yè)增加服務(wù)端的郵件網(wǎng)關(guān)等安全防護(hù)，加強(qiáng)郵箱安全策略的實(shí)施；二是郵箱客戶(hù)端的安全性保障，如增加郵箱多因素認(rèn)證、專(zhuān)有密碼的使用落實(shí)。公司內(nèi)部也可以多舉辦安全培訓(xùn)與釣魚(yú)演戲等活動(dòng)，提高大家安全意識(shí)?！?/p>

針對(duì)員工注意事項(xiàng)，狴犴建議，嚴(yán)格按管理員要求強(qiáng)化自己郵箱密碼，盡量采用多因素認(rèn)證以及強(qiáng)密碼策略。當(dāng)下攻擊手段各種各樣，針對(duì)有誘惑性?xún)?nèi)容的郵件，一定要多個(gè)心眼，可以通過(guò)仔細(xì)核對(duì)發(fā)件人地址、及時(shí)與發(fā)件人核實(shí)等方式二次確認(rèn)，并警惕不明郵件的鏈接或附件，以免落入詐騙圈套。

裴智勇認(rèn)為，企業(yè)不僅需要部署郵件安全系統(tǒng)，還要經(jīng)常進(jìn)行員工安全意識(shí)教育，包括進(jìn)行各類(lèi)實(shí)戰(zhàn)攻防演習(xí)。同時(shí)，企業(yè)郵箱系統(tǒng)需要開(kāi)啟強(qiáng)制弱口令檢測(cè)，強(qiáng)制定期改密碼，最大限度降低郵箱盜號(hào)風(fēng)險(xiǎn)。