文|三易生活
如今,网络诈骗毫无疑问可以说是互联网改变社会生活的一个负面产物,并且也已经成为了各国执法机构严厉打击的对象。但可能与许多朋友想象的不同,不仅仅是对互联网不熟悉的中老年人成为了网络诈骗的重灾区,年轻人也同样容易中招,甚至于互联网行业从业者本身也难以幸免。
日前,#搜狐员工遭遇工资补助诈骗#就出现在了微博热搜榜中。据了解,搜狐公司的员工在5月18日收到了一封来自“搜狐财务部”、名为《5月份员工工资补助通知》的邮件,有20余名员工按邮件中附件的要求扫码,并填写了银行账号等信息,但最终不但没有等到所谓的补助,卡中的余额也被划走。
据张朝阳在微博上透露的信息显示,此事是因为搜狐一位员工的内部邮箱密码被盗,使得盗贼冒充财务部发邮件给了员工。此事被发现后技术部门紧急进行了处理,资金损失总额少于5万元,并且此事不涉及对公共服务的个人邮箱xyz@sohu. com。尽管说此次受害的搜狐员工损失不大,但是影响却显然不小,毕竟大家发现原来互联网大厂在网络诈骗上也不能“免俗”。
那么骗子是如何骗走搜狐员工的钱呢?按搜狐员工们的说法,是“因为邮件后缀是公司邮箱,所以少了很多防备心理”,以及“平时报销也会提供银行卡号,所以没有特别在意”。
其实,这一次的诈骗是一套“OA钓鱼”与诈骗的组合拳,结合了社会工程学和网络攻击。所谓”OA钓鱼“就是针的对企业OA系统,攻击者会在网络上大规模采集不同企业或机构员工的邮箱地址,然后针对弱口令、也就是密码简单的企业邮箱进行“网络钓鱼”或直接“撞库”,并拿到企业OA用的内部邮箱。
在有了内部邮箱账号后,攻击者就相当于是打入了企业内部。然后就可以模仿企业常规的邮件写一个正常的“补贴通知”,并直接群发给OA系统中的所有人。由于攻击者使用了“补贴”这样一个模糊的词汇,显然也直接提升了一般人分辨的难度。再加上由于邮件是来自公司内部邮箱,所以也会进一步降低受害者的防范心理,让受害者对于邮件的信任度提高,最终点击额外的附件。
对于此事,360集团董事长周鸿祎在社交平台表示,“只要你打开看,就会有恶意程序或代码利用漏洞入驻,然后对你发起进一步网络攻击”。
没错,在邮件中包含的附件才是此事真正的主体。尽管说,这一份被伪装起来的附件真正内容无从得知,但不出意外的话,要么是木马程序、要么就是一个指向钓鱼网站的链接。考虑到此事并非“放长线钓大鱼”,所以用链接导向钓鱼网站的可能性也极大。
目前,许多钓鱼网站都被设计地极为拟真,甚至于通过获取请求流量中的特征、例如屏幕分辨率信息,能够来辨别受害者的手机是Android还是iOS,甚至如果检测到访问设备是电脑,还会提示“请使用手机访问”。同时要求填写的信息会是写姓名、身份证号、银行卡号、手机号和验证码,通常反而不会涉及密码。这也是由于如今大多数机构会使用验证码这种随机性极强的动态密钥,来代替传统的密码。
骗子在拿到了验证码后,结合手机号码、身份证号码、银行卡号,就已经能够让银行“配合”转移受害者的财产了。而在银行眼中,既然这一次请求获得了账号关联手机号提供的验证码,自然就被会认为是账号主人在进行操作。
简单来说,此次搜狐员工被骗,就是骗子以“补贴”为名诱之以利,然后让受害者自己主动交出了“洗劫”银行卡的关键——验证码。
事实上,早在明代张应俞的《骗经》中就已经揭露了大量的骗术,如今随着互联网的普及,骗术也更为多样化,但邮件诈骗其实是属于互联网时代最古老的诈骗模式。
那么问题就来了,随着技术的进步,利用电子邮件进行诈骗的行为为什么没有销声匿迹呢?这其实是因为电子邮箱本身并没有消亡,只是不再是互联网应用的主角,它也并没有被微信、QQ等即时通讯工具取代。
电子邮件因其具备可存档、可追溯,且去中心化的特性,一直以来作为比即时通讯应用更加正式的沟通渠道存在,并被广泛地应用在工作中,在电子邮件中传输附件内容也是工作中经常遇到的情况。换句话来说,在飞书、钉钉真正意义上代替企业OA、代替电子邮件前,电子邮件作为一个工作场景下正式的沟通机制势必还会长期存在。
但电子邮件本身作为一个古老的互联网产品,其安全机制其实是相对落后的。
根据此前美国联邦调查局的统计数据显示,商业电子邮件诈骗(BEC)虽然在投诉量排行榜上只位居第九,但已造成了24亿美元损失的超高“战绩”。而电子邮件诈骗泛滥的最大原因是无需对方同意,只要知道邮件地址就可以发送信息,这种特性与电话是一模一样的。
再加上电子邮件基于的SMTP和POP3协议,是属于Internet基础的TCP/IP协议簇,而全世界都在使用的通用协议也导致了用户可以使用任何一种客户端,以任何一种方式查看邮件。
电子邮件的这些特质导致了著名的垃圾邮件问题,也诞生了Anti-spam这一反垃圾邮件技术,但基于大数据与机器学习的Anti-spam并不是万能的,这一技术的实现在于数据提取与特征匹配,追求的是风险与成本的平衡,所以是不可能拦截所有垃圾邮件的。归根结底,电子邮件诈骗是是一种相对技术含量较低的骗术,但对骗子来说则更是低风险、高回报。
回到此次搜狐的案例上,这种电子邮件诈骗在结合了社会工程学后迸发的威力无疑是巨大的,因为这些攻击来自受信任的对象,且邮件内容和口吻也都是熟悉的、要求回复的时间紧迫,因此才使得其真假难以识别。再加上,这类邮件往往很少会携带可检测拦截的URL或恶意附件等攻击载荷,能够绕过一般的邮件安全防护机制。
事实上,想要避免被中招搜狐此次这样的钓鱼邮件,最好的应对措施就是遇到索取个人信息的邮件时,借助其它方式确认一下文件的真实性,比如在公司内网或工作群里吱一声。
评论