正在閱讀:

一封小小的電子郵件,怎么騙到了互聯(lián)網(wǎng)大廠員工

掃一掃下載界面新聞APP

一封小小的電子郵件,怎么騙到了互聯(lián)網(wǎng)大廠員工

騙子是如何騙走搜狐員工的錢呢?

文|三易生活

如今,網(wǎng)絡(luò)詐騙毫無(wú)疑問(wèn)可以說(shuō)是互聯(lián)網(wǎng)改變社會(huì)生活的一個(gè)負(fù)面產(chǎn)物,并且也已經(jīng)成為了各國(guó)執(zhí)法機(jī)構(gòu)嚴(yán)厲打擊的對(duì)象。但可能與許多朋友想象的不同,不僅僅是對(duì)互聯(lián)網(wǎng)不熟悉的中老年人成為了網(wǎng)絡(luò)詐騙的重災(zāi)區(qū),年輕人也同樣容易中招,甚至于互聯(lián)網(wǎng)行業(yè)從業(yè)者本身也難以幸免。

日前,#搜狐員工遭遇工資補(bǔ)助詐騙#就出現(xiàn)在了微博熱搜榜中。據(jù)了解,搜狐公司的員工在5月18日收到了一封來(lái)自“搜狐財(cái)務(wù)部”、名為《5月份員工工資補(bǔ)助通知》的郵件,有20余名員工按郵件中附件的要求掃碼,并填寫(xiě)了銀行賬號(hào)等信息,但最終不但沒(méi)有等到所謂的補(bǔ)助,卡中的余額也被劃走。

據(jù)張朝陽(yáng)在微博上透露的信息顯示,此事是因?yàn)樗押晃粏T工的內(nèi)部郵箱密碼被盜,使得盜賊冒充財(cái)務(wù)部發(fā)郵件給了員工。此事被發(fā)現(xiàn)后技術(shù)部門(mén)緊急進(jìn)行了處理,資金損失總額少于5萬(wàn)元,并且此事不涉及對(duì)公共服務(wù)的個(gè)人郵箱xyz@sohu. com。盡管說(shuō)此次受害的搜狐員工損失不大,但是影響卻顯然不小,畢竟大家發(fā)現(xiàn)原來(lái)互聯(lián)網(wǎng)大廠在網(wǎng)絡(luò)詐騙上也不能“免俗”。

那么騙子是如何騙走搜狐員工的錢呢?按搜狐員工們的說(shuō)法,是“因?yàn)猷]件后綴是公司郵箱,所以少了很多防備心理”,以及“平時(shí)報(bào)銷也會(huì)提供銀行卡號(hào),所以沒(méi)有特別在意”。

其實(shí),這一次的詐騙是一套“OA釣魚(yú)”與詐騙的組合拳,結(jié)合了社會(huì)工程學(xué)和網(wǎng)絡(luò)攻擊。所謂”O(jiān)A釣魚(yú)“就是針的對(duì)企業(yè)OA系統(tǒng),攻擊者會(huì)在網(wǎng)絡(luò)上大規(guī)模采集不同企業(yè)或機(jī)構(gòu)員工的郵箱地址,然后針對(duì)弱口令、也就是密碼簡(jiǎn)單的企業(yè)郵箱進(jìn)行“網(wǎng)絡(luò)釣魚(yú)”或直接“撞庫(kù)”,并拿到企業(yè)OA用的內(nèi)部郵箱。

在有了內(nèi)部郵箱賬號(hào)后,攻擊者就相當(dāng)于是打入了企業(yè)內(nèi)部。然后就可以模仿企業(yè)常規(guī)的郵件寫(xiě)一個(gè)正常的“補(bǔ)貼通知”,并直接群發(fā)給OA系統(tǒng)中的所有人。由于攻擊者使用了“補(bǔ)貼”這樣一個(gè)模糊的詞匯,顯然也直接提升了一般人分辨的難度。再加上由于郵件是來(lái)自公司內(nèi)部郵箱,所以也會(huì)進(jìn)一步降低受害者的防范心理,讓受害者對(duì)于郵件的信任度提高,最終點(diǎn)擊額外的附件。

對(duì)于此事,360集團(tuán)董事長(zhǎng)周鴻祎在社交平臺(tái)表示,“只要你打開(kāi)看,就會(huì)有惡意程序或代碼利用漏洞入駐,然后對(duì)你發(fā)起進(jìn)一步網(wǎng)絡(luò)攻擊”。

沒(méi)錯(cuò),在郵件中包含的附件才是此事真正的主體。盡管說(shuō),這一份被偽裝起來(lái)的附件真正內(nèi)容無(wú)從得知,但不出意外的話,要么是木馬程序、要么就是一個(gè)指向釣魚(yú)網(wǎng)站的鏈接??紤]到此事并非“放長(zhǎng)線釣大魚(yú)”,所以用鏈接導(dǎo)向釣魚(yú)網(wǎng)站的可能性也極大。

目前,許多釣魚(yú)網(wǎng)站都被設(shè)計(jì)地極為擬真,甚至于通過(guò)獲取請(qǐng)求流量中的特征、例如屏幕分辨率信息,能夠來(lái)辨別受害者的手機(jī)是Android還是iOS,甚至如果檢測(cè)到訪問(wèn)設(shè)備是電腦,還會(huì)提示“請(qǐng)使用手機(jī)訪問(wèn)”。同時(shí)要求填寫(xiě)的信息會(huì)是寫(xiě)姓名、身份證號(hào)、銀行卡號(hào)、手機(jī)號(hào)和驗(yàn)證碼,通常反而不會(huì)涉及密碼。這也是由于如今大多數(shù)機(jī)構(gòu)會(huì)使用驗(yàn)證碼這種隨機(jī)性極強(qiáng)的動(dòng)態(tài)密鑰,來(lái)代替?zhèn)鹘y(tǒng)的密碼。

騙子在拿到了驗(yàn)證碼后,結(jié)合手機(jī)號(hào)碼、身份證號(hào)碼、銀行卡號(hào),就已經(jīng)能夠讓銀行“配合”轉(zhuǎn)移受害者的財(cái)產(chǎn)了。而在銀行眼中,既然這一次請(qǐng)求獲得了賬號(hào)關(guān)聯(lián)手機(jī)號(hào)提供的驗(yàn)證碼,自然就被會(huì)認(rèn)為是賬號(hào)主人在進(jìn)行操作。

簡(jiǎn)單來(lái)說(shuō),此次搜狐員工被騙,就是騙子以“補(bǔ)貼”為名誘之以利,然后讓受害者自己主動(dòng)交出了“洗劫”銀行卡的關(guān)鍵——驗(yàn)證碼。

事實(shí)上,早在明代張應(yīng)俞的《騙經(jīng)》中就已經(jīng)揭露了大量的騙術(shù),如今隨著互聯(lián)網(wǎng)的普及,騙術(shù)也更為多樣化,但郵件詐騙其實(shí)是屬于互聯(lián)網(wǎng)時(shí)代最古老的詐騙模式。

那么問(wèn)題就來(lái)了,隨著技術(shù)的進(jìn)步,利用電子郵件進(jìn)行詐騙的行為為什么沒(méi)有銷聲匿跡呢?這其實(shí)是因?yàn)殡娮余]箱本身并沒(méi)有消亡,只是不再是互聯(lián)網(wǎng)應(yīng)用的主角,它也并沒(méi)有被微信、QQ等即時(shí)通訊工具取代。

電子郵件因其具備可存檔、可追溯,且去中心化的特性,一直以來(lái)作為比即時(shí)通訊應(yīng)用更加正式的溝通渠道存在,并被廣泛地應(yīng)用在工作中,在電子郵件中傳輸附件內(nèi)容也是工作中經(jīng)常遇到的情況。換句話來(lái)說(shuō),在飛書(shū)、釘釘真正意義上代替企業(yè)OA、代替電子郵件前,電子郵件作為一個(gè)工作場(chǎng)景下正式的溝通機(jī)制勢(shì)必還會(huì)長(zhǎng)期存在。

但電子郵件本身作為一個(gè)古老的互聯(lián)網(wǎng)產(chǎn)品,其安全機(jī)制其實(shí)是相對(duì)落后的。

根據(jù)此前美國(guó)聯(lián)邦調(diào)查局的統(tǒng)計(jì)數(shù)據(jù)顯示,商業(yè)電子郵件詐騙(BEC)雖然在投訴量排行榜上只位居第九,但已造成了24億美元損失的超高“戰(zhàn)績(jī)”。而電子郵件詐騙泛濫的最大原因是無(wú)需對(duì)方同意,只要知道郵件地址就可以發(fā)送信息,這種特性與電話是一模一樣的。

再加上電子郵件基于的SMTP和POP3協(xié)議,是屬于Internet基礎(chǔ)的TCP/IP協(xié)議簇,而全世界都在使用的通用協(xié)議也導(dǎo)致了用戶可以使用任何一種客戶端,以任何一種方式查看郵件。

電子郵件的這些特質(zhì)導(dǎo)致了著名的垃圾郵件問(wèn)題,也誕生了Anti-spam這一反垃圾郵件技術(shù),但基于大數(shù)據(jù)與機(jī)器學(xué)習(xí)的Anti-spam并不是萬(wàn)能的,這一技術(shù)的實(shí)現(xiàn)在于數(shù)據(jù)提取與特征匹配,追求的是風(fēng)險(xiǎn)與成本的平衡,所以是不可能攔截所有垃圾郵件的。歸根結(jié)底,電子郵件詐騙是是一種相對(duì)技術(shù)含量較低的騙術(shù),但對(duì)騙子來(lái)說(shuō)則更是低風(fēng)險(xiǎn)、高回報(bào)。

回到此次搜狐的案例上,這種電子郵件詐騙在結(jié)合了社會(huì)工程學(xué)后迸發(fā)的威力無(wú)疑是巨大的,因?yàn)檫@些攻擊來(lái)自受信任的對(duì)象,且郵件內(nèi)容和口吻也都是熟悉的、要求回復(fù)的時(shí)間緊迫,因此才使得其真假難以識(shí)別。再加上,這類郵件往往很少會(huì)攜帶可檢測(cè)攔截的URL或惡意附件等攻擊載荷,能夠繞過(guò)一般的郵件安全防護(hù)機(jī)制。

事實(shí)上,想要避免被中招搜狐此次這樣的釣魚(yú)郵件,最好的應(yīng)對(duì)措施就是遇到索取個(gè)人信息的郵件時(shí),借助其它方式確認(rèn)一下文件的真實(shí)性,比如在公司內(nèi)網(wǎng)或工作群里吱一聲。

本文為轉(zhuǎn)載內(nèi)容,授權(quán)事宜請(qǐng)聯(lián)系原著作權(quán)人。

評(píng)論

暫無(wú)評(píng)論哦,快來(lái)評(píng)價(jià)一下吧!

下載界面新聞

微信公眾號(hào)

微博

一封小小的電子郵件,怎么騙到了互聯(lián)網(wǎng)大廠員工

騙子是如何騙走搜狐員工的錢呢?

文|三易生活

如今,網(wǎng)絡(luò)詐騙毫無(wú)疑問(wèn)可以說(shuō)是互聯(lián)網(wǎng)改變社會(huì)生活的一個(gè)負(fù)面產(chǎn)物,并且也已經(jīng)成為了各國(guó)執(zhí)法機(jī)構(gòu)嚴(yán)厲打擊的對(duì)象。但可能與許多朋友想象的不同,不僅僅是對(duì)互聯(lián)網(wǎng)不熟悉的中老年人成為了網(wǎng)絡(luò)詐騙的重災(zāi)區(qū),年輕人也同樣容易中招,甚至于互聯(lián)網(wǎng)行業(yè)從業(yè)者本身也難以幸免。

日前,#搜狐員工遭遇工資補(bǔ)助詐騙#就出現(xiàn)在了微博熱搜榜中。據(jù)了解,搜狐公司的員工在5月18日收到了一封來(lái)自“搜狐財(cái)務(wù)部”、名為《5月份員工工資補(bǔ)助通知》的郵件,有20余名員工按郵件中附件的要求掃碼,并填寫(xiě)了銀行賬號(hào)等信息,但最終不但沒(méi)有等到所謂的補(bǔ)助,卡中的余額也被劃走。

據(jù)張朝陽(yáng)在微博上透露的信息顯示,此事是因?yàn)樗押晃粏T工的內(nèi)部郵箱密碼被盜,使得盜賊冒充財(cái)務(wù)部發(fā)郵件給了員工。此事被發(fā)現(xiàn)后技術(shù)部門(mén)緊急進(jìn)行了處理,資金損失總額少于5萬(wàn)元,并且此事不涉及對(duì)公共服務(wù)的個(gè)人郵箱xyz@sohu. com。盡管說(shuō)此次受害的搜狐員工損失不大,但是影響卻顯然不小,畢竟大家發(fā)現(xiàn)原來(lái)互聯(lián)網(wǎng)大廠在網(wǎng)絡(luò)詐騙上也不能“免俗”。

那么騙子是如何騙走搜狐員工的錢呢?按搜狐員工們的說(shuō)法,是“因?yàn)猷]件后綴是公司郵箱,所以少了很多防備心理”,以及“平時(shí)報(bào)銷也會(huì)提供銀行卡號(hào),所以沒(méi)有特別在意”。

其實(shí),這一次的詐騙是一套“OA釣魚(yú)”與詐騙的組合拳,結(jié)合了社會(huì)工程學(xué)和網(wǎng)絡(luò)攻擊。所謂”O(jiān)A釣魚(yú)“就是針的對(duì)企業(yè)OA系統(tǒng),攻擊者會(huì)在網(wǎng)絡(luò)上大規(guī)模采集不同企業(yè)或機(jī)構(gòu)員工的郵箱地址,然后針對(duì)弱口令、也就是密碼簡(jiǎn)單的企業(yè)郵箱進(jìn)行“網(wǎng)絡(luò)釣魚(yú)”或直接“撞庫(kù)”,并拿到企業(yè)OA用的內(nèi)部郵箱。

在有了內(nèi)部郵箱賬號(hào)后,攻擊者就相當(dāng)于是打入了企業(yè)內(nèi)部。然后就可以模仿企業(yè)常規(guī)的郵件寫(xiě)一個(gè)正常的“補(bǔ)貼通知”,并直接群發(fā)給OA系統(tǒng)中的所有人。由于攻擊者使用了“補(bǔ)貼”這樣一個(gè)模糊的詞匯,顯然也直接提升了一般人分辨的難度。再加上由于郵件是來(lái)自公司內(nèi)部郵箱,所以也會(huì)進(jìn)一步降低受害者的防范心理,讓受害者對(duì)于郵件的信任度提高,最終點(diǎn)擊額外的附件。

對(duì)于此事,360集團(tuán)董事長(zhǎng)周鴻祎在社交平臺(tái)表示,“只要你打開(kāi)看,就會(huì)有惡意程序或代碼利用漏洞入駐,然后對(duì)你發(fā)起進(jìn)一步網(wǎng)絡(luò)攻擊”。

沒(méi)錯(cuò),在郵件中包含的附件才是此事真正的主體。盡管說(shuō),這一份被偽裝起來(lái)的附件真正內(nèi)容無(wú)從得知,但不出意外的話,要么是木馬程序、要么就是一個(gè)指向釣魚(yú)網(wǎng)站的鏈接??紤]到此事并非“放長(zhǎng)線釣大魚(yú)”,所以用鏈接導(dǎo)向釣魚(yú)網(wǎng)站的可能性也極大。

目前,許多釣魚(yú)網(wǎng)站都被設(shè)計(jì)地極為擬真,甚至于通過(guò)獲取請(qǐng)求流量中的特征、例如屏幕分辨率信息,能夠來(lái)辨別受害者的手機(jī)是Android還是iOS,甚至如果檢測(cè)到訪問(wèn)設(shè)備是電腦,還會(huì)提示“請(qǐng)使用手機(jī)訪問(wèn)”。同時(shí)要求填寫(xiě)的信息會(huì)是寫(xiě)姓名、身份證號(hào)、銀行卡號(hào)、手機(jī)號(hào)和驗(yàn)證碼,通常反而不會(huì)涉及密碼。這也是由于如今大多數(shù)機(jī)構(gòu)會(huì)使用驗(yàn)證碼這種隨機(jī)性極強(qiáng)的動(dòng)態(tài)密鑰,來(lái)代替?zhèn)鹘y(tǒng)的密碼。

騙子在拿到了驗(yàn)證碼后,結(jié)合手機(jī)號(hào)碼、身份證號(hào)碼、銀行卡號(hào),就已經(jīng)能夠讓銀行“配合”轉(zhuǎn)移受害者的財(cái)產(chǎn)了。而在銀行眼中,既然這一次請(qǐng)求獲得了賬號(hào)關(guān)聯(lián)手機(jī)號(hào)提供的驗(yàn)證碼,自然就被會(huì)認(rèn)為是賬號(hào)主人在進(jìn)行操作。

簡(jiǎn)單來(lái)說(shuō),此次搜狐員工被騙,就是騙子以“補(bǔ)貼”為名誘之以利,然后讓受害者自己主動(dòng)交出了“洗劫”銀行卡的關(guān)鍵——驗(yàn)證碼。

事實(shí)上,早在明代張應(yīng)俞的《騙經(jīng)》中就已經(jīng)揭露了大量的騙術(shù),如今隨著互聯(lián)網(wǎng)的普及,騙術(shù)也更為多樣化,但郵件詐騙其實(shí)是屬于互聯(lián)網(wǎng)時(shí)代最古老的詐騙模式。

那么問(wèn)題就來(lái)了,隨著技術(shù)的進(jìn)步,利用電子郵件進(jìn)行詐騙的行為為什么沒(méi)有銷聲匿跡呢?這其實(shí)是因?yàn)殡娮余]箱本身并沒(méi)有消亡,只是不再是互聯(lián)網(wǎng)應(yīng)用的主角,它也并沒(méi)有被微信、QQ等即時(shí)通訊工具取代。

電子郵件因其具備可存檔、可追溯,且去中心化的特性,一直以來(lái)作為比即時(shí)通訊應(yīng)用更加正式的溝通渠道存在,并被廣泛地應(yīng)用在工作中,在電子郵件中傳輸附件內(nèi)容也是工作中經(jīng)常遇到的情況。換句話來(lái)說(shuō),在飛書(shū)、釘釘真正意義上代替企業(yè)OA、代替電子郵件前,電子郵件作為一個(gè)工作場(chǎng)景下正式的溝通機(jī)制勢(shì)必還會(huì)長(zhǎng)期存在。

但電子郵件本身作為一個(gè)古老的互聯(lián)網(wǎng)產(chǎn)品,其安全機(jī)制其實(shí)是相對(duì)落后的。

根據(jù)此前美國(guó)聯(lián)邦調(diào)查局的統(tǒng)計(jì)數(shù)據(jù)顯示,商業(yè)電子郵件詐騙(BEC)雖然在投訴量排行榜上只位居第九,但已造成了24億美元損失的超高“戰(zhàn)績(jī)”。而電子郵件詐騙泛濫的最大原因是無(wú)需對(duì)方同意,只要知道郵件地址就可以發(fā)送信息,這種特性與電話是一模一樣的。

再加上電子郵件基于的SMTP和POP3協(xié)議,是屬于Internet基礎(chǔ)的TCP/IP協(xié)議簇,而全世界都在使用的通用協(xié)議也導(dǎo)致了用戶可以使用任何一種客戶端,以任何一種方式查看郵件。

電子郵件的這些特質(zhì)導(dǎo)致了著名的垃圾郵件問(wèn)題,也誕生了Anti-spam這一反垃圾郵件技術(shù),但基于大數(shù)據(jù)與機(jī)器學(xué)習(xí)的Anti-spam并不是萬(wàn)能的,這一技術(shù)的實(shí)現(xiàn)在于數(shù)據(jù)提取與特征匹配,追求的是風(fēng)險(xiǎn)與成本的平衡,所以是不可能攔截所有垃圾郵件的。歸根結(jié)底,電子郵件詐騙是是一種相對(duì)技術(shù)含量較低的騙術(shù),但對(duì)騙子來(lái)說(shuō)則更是低風(fēng)險(xiǎn)、高回報(bào)。

回到此次搜狐的案例上,這種電子郵件詐騙在結(jié)合了社會(huì)工程學(xué)后迸發(fā)的威力無(wú)疑是巨大的,因?yàn)檫@些攻擊來(lái)自受信任的對(duì)象,且郵件內(nèi)容和口吻也都是熟悉的、要求回復(fù)的時(shí)間緊迫,因此才使得其真假難以識(shí)別。再加上,這類郵件往往很少會(huì)攜帶可檢測(cè)攔截的URL或惡意附件等攻擊載荷,能夠繞過(guò)一般的郵件安全防護(hù)機(jī)制。

事實(shí)上,想要避免被中招搜狐此次這樣的釣魚(yú)郵件,最好的應(yīng)對(duì)措施就是遇到索取個(gè)人信息的郵件時(shí),借助其它方式確認(rèn)一下文件的真實(shí)性,比如在公司內(nèi)網(wǎng)或工作群里吱一聲。

本文為轉(zhuǎn)載內(nèi)容,授權(quán)事宜請(qǐng)聯(lián)系原著作權(quán)人。