搜狐24名员工被邮件骗走4万元，这样的奇葩事是怎么发生的？

人往往是安全锁链中最脆弱的一环，由安全意识不足造成的钓鱼、信息泄露等事件时有发生。
全文2961字，阅读约需6分钟
新京报记者 罗亦丹 编辑 徐超
5月25日，搜狐董事局主席兼CEO张朝阳表示，“搜狐一名员工的内部邮箱密码被盗，盗贼冒充财务部发信给员工，发现后技术部门紧急处理，资金损失总额少于5万元。”张朝阳表示此次事件不涉及对公共服务的搜狐个人邮箱。

▲图/搜狐官方微博截图
随后搜狐官方微博发表声明称，5月18日凌晨，搜狐部分员工邮箱收到诈骗邮件。经调查，实为某员工使用邮件时被意外钓鱼导致密码泄露，进而被冒充财务部盗发邮件。据统计，共有24名员工被骗取4万余元人民币。目前正在等待警方的调查进展和处理结果。
贝壳财经记者了解到，围绕电子邮箱进行的诈骗行为并不少见，其主要包括冒充上下游客户、领导同事的钓鱼攻击，包含木马，目的为窃取公司机密的病毒邮件等。
奇安信行业安全研究中心主任裴智勇对贝壳财经记者表示，仅就目前能够看到的信息来说，这很有可能是一起非常典型的OA钓鱼攻击与网络诈骗攻击相结合的连环网络攻击事件。
“为了防范此类攻击，企业不仅需要部署邮件安全系统，同时还要经常进行员工安全意识教育，进行各类实战攻防演习。同时，企业邮箱系统需要开启强制弱口令检测，强制定期改密码，以最大限度地减轻邮箱盗号风险。”裴智勇称。
━━━━━
“钓鱼邮件”并非个例，
开放式体系易成网络攻击入口

▲图/IC
所谓OA钓鱼，就是攻击者冒充系统管理员或运维人员，给员工发送钓鱼邮件，诱骗员工在仿冒的钓鱼网站上，输入自己的账号和密码。攻击者一旦盗取了员工的账号和密码之后，就会以员工的身份登录邮箱，进而向更多的其他员工发送诈骗邮件。
裴智勇表示，对于后续的受害者来说，由于邮件是来自于内部邮箱，可信度大大提升，最终上当受骗往往在所难免。当然，盗取邮箱账号的方法不止一种，还有很多其他方法。实际情况，还要等待有关部门的进一步调查。
搜狐方面表示，事发后，公司IT及安全部门第一时间做了紧急处理并向公安机关报案。目前正在等待警方的调查进展和处理结果。搜狐表示，这次事件不涉及到搜狐公司对用户提供的邮件服务，“搜狐会持续升级网络安全技术，维护公司和个人的网络安全，更好地提供网络服务。”
事实上，搜狐遭遇的“钓鱼邮件”并非个例。
2022年1月，江苏省公安厅连云港市局就曾发布过警方提示，有不法分子冒充社保部门发放“社保补贴”向受害者发送诈骗邮件，受害者点击后银行卡遭盗刷。从2017年至今，我国的外贸企业也持续受到“商贸信”钓鱼邮件的范围攻击，一旦用户不慎运行钓鱼邮件的附件文档，就会被植入远控木马，企业机密信息将被不法黑客窃取。
论客科技(广州)有限公司创始人、CEO陈磊华此前在接受贝壳财经记者采访时表示，针对企业的钓鱼邮件一般是利用伪装的电邮，欺骗收件人把账号、口令等信息回复给指定的接收者;或引导收件人连接到特制的网页，这些网页通常会伪装成和真实网站一样，如银行或理财的网页，令登录者信以为真，输入信用卡或银行卡号码、账户名称及密码等而导致信息被盗。
陈磊华表示，电子邮件系统本身是开放式体系，因此特别容易成为网络攻击的入口。“虽然微信、微博等社交工具较为流行，一定程度上代替了电子邮件的作用，但与国外的交流目前还是以电子邮件为主，因此电子邮件也极易受到国际上的网络攻击，而拥有机密数据的大型公司往往容易成为被攻击的对象”。

▲图/IC
相比国内，国外公司更易遭受邮件诈骗。美国联邦调查局日前发出警告声称，在2016年6月到2021年12月期间，商业电子邮件妥协（BEC）攻击案件所涉的金额高达430亿美元。根据联邦调查局的报告，该机构的互联网犯罪中心（IC3）一共收到了24.12万起投诉。
“电子邮件是最早网络通信方式，设计之初并没有任何安全考虑，普通的电子邮件基本都是明文传输，而且没有加密校验的。简单地说，有些软件可以把发出邮件的正文截下来，修改之后再发出去。”裴智勇告诉贝壳财经记者，“不过，现在大型邮件服务商都设置了很多安全机制，比如，收邮件的服务系统可以向发邮件的服务系统发出一些验证信息，以确认邮箱或邮件来源是否可信等。”
对于个人可能遭遇的诈骗邮件，连云港市警方提示称，政务服务不会通过邮件形式提醒，凡是遇到不明链接、二维码务必谨慎操作；短信验证码更不能随意告知他人。同时提醒各大企业，定期检查内部邮箱登录模式、改设复杂密码、开通安全认证，提醒员工如遇类似情况，首先要与公司联系核实情况。
━━━━━
邮箱安全如何保护？

▲图/IC
5月25日，安恒信息安全专家在接受贝壳财经记者采访时表示，邮箱的安全保护是多维的，企业邮件服务器防护主要包括服务器本身系统安全防护、邮件服务安全防护、邮件内容安全防护，“其中前两条都属于常规防护，第三条邮件内容安全防护现在普及率还不高。邮件内容安全防护主要依靠对发件人账号审计、ueba审计、邮件内容人工智能审计、邮件附件文件沙箱审计、邮件包含的超链接网站安全审计等，并配套对群发邮件的范围和数量进行管理的安全策略，才可以有效及时地发现威胁、拦截威胁，最大程度上限制威胁的危害性。”

裴智勇认为，对于钓鱼邮件的防护，首先企业应该部署邮件安全系统或邮件威胁识别系统，“本次事件关联的企业，本身也是国内领先的邮件服务商，此类系统可能也是健全的。只不过，钓鱼邮件本身确实很难识别，难免会有漏网之鱼。而且，类似的成功攻击的事件实际上经常发生，每年被盗的各类邮箱账号数以百万计，这都是安全管理疏忽的表现。而员工被钓鱼邮件所骗，也是自身安全意识不足的体现。”
陈磊华表示，对于攻击者“蓄谋已久”的APT攻击(高级可持续威胁攻击)，被攻击企业往往很难招架。“攻击者想要攻击一家企业的邮箱，可以采取‘迂回’的方式，如先渗透其合作伙伴的邮箱，再从合作伙伴的邮箱发来合作方案等钓鱼邮件，被攻击企业很难会不中招。”
在他看来，目前传统的钓鱼邮件、垃圾邮件、病毒邮件等威胁依然是邮件安全面临的主要挑战，此类安全问题无法根除，是一场持久战。企业要做到采用高安全等级的邮箱系统及配套防御系统，提升整体信息安全等级如定期更新密码，开启邮箱异常提醒、IP限制等基础安全策略。
此外，用户安全意识问题也同样不容小觑，“人往往是安全锁链中最脆弱的一环，由安全意识不足造成的钓鱼、信息泄露等事件时有发生。”陈磊华表示，个人用户需要做到安装杀毒软件，开启自动扫描邮件附件，避免使用弱密码并定期更换，设置邮箱账号登录保护，不盲目打开或者点击邮件中的链接和附件，对信任的朋友或者同事的邮件保持警惕心，必要时电话确认。
裴志勇表示，为了防范此类攻击，企业不仅需要部署邮件安全系统，同时还要经常进行员工安全意识教育，进行各类实战攻防演习。同时，企业邮箱系统需要开启强制弱口令检测，强制定期改密码，以最大限度地减轻邮箱盗号风险。
安恒信息安全专家表示，对于主要依靠账号、密码、多因子认证等方式保护的个人邮箱，要养成不在陌生主机上使用账号密码登录个人邮箱的习惯，更多地使用扫描二维码或者其他一次一密的方式登录认证，使用完毕后记得退出。
值班编辑 康嘻嘻
本文部分首发自新京报公号“新京报贝壳财经”
未经新京报书面授权不得转载使用
欢迎朋友圈分享

---