“搜狐遭遇诈骗”刷屏!“钓鱼”邮件盯上公司域名?(2)
员工的邮件地址又是如何被获取的呢?
中国人民公安大学侦查学院副教授王晓伟对《中国消费者报》记者说,“这种骗术很常见,可能就是内部员工邮箱被盗,尤其是财务人员的手机有时候无意间中了木马,导致邮箱或相关账户泄露,不法分子通过内部邮件系统给员工发带有链接的邮件。”
据王晓伟介绍,还有一种情况是骗子先潜入一些内部群,或者是用一些域名相近的邮箱给某个公司或员工发有链接的钓鱼信息,诱导员工一步一步地操作。“这种情况比较多,类似常见的ETC失效之类的操作模式,覆盖面也比较大,不法分子就博一个概率。”他说。
据狴犴介绍,获取员工的邮件地址有几个途径:
攻击者根据公司对外留下的邮箱格式进行枚举猜测;
离职人员或内部员工泄露;
攻击者成功攻击邮件系统后台后获取。
互联网公司为何也会被钓鱼?
“互联网企业一般都会部署邮件安全系统或邮件威胁识别系统。”裴智勇说,“‘搜狐事件’关联企业本身也是国内领先的邮件服务商,此类系统肯定也是健全的。只不过钓鱼邮件本身确实很难识别,难免会有漏网之鱼。”
裴智勇表示,类似的成功攻击事件实际上经常发生。每年被盗的各类邮箱账号数以百万计,都是安全管理疏忽的表现。而员工被钓鱼邮件所骗,也是自身安全防范意识不足的体现。“仅就目前能够看到的信息来说,这次事件很可能是非常典型的OA钓鱼攻击与网络诈骗攻击相结合的连环网络攻击事件。”他说,也可能是企业有内鬼。
裴智勇解释道,现在,大型邮件服务商都设置了很多安全机制,比如,收件系统可以向发件系统发出验证信息,以确认邮箱或邮件来源是否可信。不过很多企业都出于各种原因,没有开启类似的校验功能。“但邮件报文明文传输的本质,是其容易被篡改的根本原因。”
“使用邮件代理也可以产生这样的效果。”裴智勇说,“软件会先把邮件截下来发送到某个受控邮箱,再由受控邮箱把邮件正文截下来,之后把邮件转发给原定的收件人。这样,收件人看到的发件人就是代理邮箱或中转邮箱发出的邮件,而不是原始邮件。”
如何防范企业邮箱钓鱼风险?
针对企业邮箱安全性保障有两个建议,狴犴表示:
一是邮箱服务端的安全性保障,如企业增加服务端的邮件网关等安全防护,加强邮箱安全策略的实施;
二是邮箱客户端的安全性保障,如增加邮箱多因素认证、专有密码的使用落实。企业内部也可以多举办安全培训与钓鱼演戏等活动,提高大家安全意识。