如今,網絡詐騙毫無疑問可以說是網際網路改變社會生活的一個負面產物,並且也已經成為了各國執法機構嚴厲打擊的對象。但可能與許多朋友想像的不同,不僅僅是對網際網路不熟悉的中老年人成為了網絡詐騙的重災區,年輕人也同樣容易中招,甚至於網際網路行業從業者本身也難以倖免。
日前,#搜狐員工遭遇工資補助詐騙#就出現在了微博熱搜榜中。據了解,搜狐公司的員工在5月18日收到了一封來自「搜狐財務部」、名為《5月份員工工資補助通知》的郵件,有20餘名員工按郵件中附件的要求掃碼,並填寫了銀行帳號等信息,但最終不但沒有等到所謂的補助,卡中的餘額也被划走。
據張朝陽在微博上透露的信息顯示,此事是因為搜狐一位員工的內部郵箱密碼被盜,使得盜賊冒充財務部發郵件給了員工。此事被發現後技術部門緊急進行了處理,資金損失總額少於5萬元,並且此事不涉及對公共服務的個人郵箱xyz@sohu. com。儘管說此次受害的搜狐員工損失不大,但是影響卻顯然不小,畢竟大家發現原來網際網路大廠在網絡詐騙上也不能「免俗」。
那麼騙子是如何騙走搜狐員工的錢呢?按搜狐員工們的說法,是「因為郵件後綴是公司郵箱,所以少了很多防備心理」,以及「平時報銷也會提供銀行卡號,所以沒有特別在意」。
其實,這一次的詐騙是一套「OA釣魚」與詐騙的組合拳,結合了社會工程學和網絡攻擊。所謂」OA釣魚「就是針的對企業OA系統,攻擊者會在網絡上大規模採集不同企業或機構員工的郵箱地址,然後針對弱口令、也就是密碼簡單的企業郵箱進行「網絡釣魚」或直接「撞庫」,並拿到企業OA用的內部郵箱。
在有了內部郵箱帳號後,攻擊者就相當於是打入了企業內部。然後就可以模仿企業常規的郵件寫一個正常的「補貼通知」,並直接群發給OA系統中的所有人。由於攻擊者使用了「補貼」這樣一個模糊的詞彙,顯然也直接提升了一般人分辨的難度。再加上由於郵件是來自公司內部郵箱,所以也會進一步降低受害者的防範心理,讓受害者對於郵件的信任度提高,最終點擊額外的附件。
對於此事,360集團董事長周鴻禕在社交平台表示,「只要你打開看,就會有惡意程序或代碼利用漏洞入駐,然後對你發起進一步網絡攻擊」。
沒錯,在郵件中包含的附件才是此事真正的主體。儘管說,這一份被偽裝起來的附件真正內容無從得知,但不出意外的話,要麼是木馬程序、要麼就是一個指向釣魚網站的連結。考慮到此事並非「放長線釣大魚」,所以用連結導向釣魚網站的可能性也極大。
目前,許多釣魚網站都被設計地極為擬真,甚至於通過獲取請求流量中的特徵、例如屏幕解析度信息,能夠來辨別受害者的手機是Android還是iOS,甚至如果檢測到訪問設備是電腦,還會提示「請使用手機訪問」。同時要求填寫的信息會是寫姓名、身份證號、銀行卡號、手機號和驗證碼,通常反而不會涉及密碼。這也是由於如今大多數機構會使用驗證碼這種隨機性極強的動態密鑰,來代替傳統的密碼。
騙子在拿到了驗證碼後,結合手機號碼、身份證號碼、銀行卡號,就已經能夠讓銀行「配合」轉移受害者的財產了。而在銀行眼中,既然這一次請求獲得了帳號關聯手機號提供的驗證碼,自然就被會認為是帳號主人在進行操作。
簡單來說,此次搜狐員工被騙,就是騙子以「補貼」為名誘之以利,然後讓受害者自己主動交出了「洗劫」銀行卡的關鍵——驗證碼。
事實上,早在明代張應俞的《騙經》中就已經揭露了大量的騙術,如今隨著網際網路的普及,騙術也更為多樣化,但郵件詐騙其實是屬於網際網路時代最古老的詐騙模式。
那麼問題就來了,隨著技術的進步,利用電子郵件進行詐騙的行為為什麼沒有銷聲匿跡呢?這其實是因為電子郵箱本身並沒有消亡,只是不再是網際網路應用的主角,它也並沒有被微信、QQ等即時通訊工具取代。
電子郵件因其具備可存檔、可追溯,且去中心化的特性,一直以來作為比即時通訊應用更加正式的溝通渠道存在,並被廣泛地應用在工作中,在電子郵件中傳輸附件內容也是工作中經常遇到的情況。換句話來說,在飛書、釘釘真正意義上代替企業OA、代替電子郵件前,電子郵件作為一個工作場景下正式的溝通機制勢必還會長期存在。
但電子郵件本身作為一個古老的網際網路產品,其安全機制其實是相對落後的。
根據此前美國聯邦調查局的統計數據顯示,商業電子郵件詐騙(BEC)雖然在投訴量排行榜上只位居第九,但已造成了24億美元損失的超高「戰績」。而電子郵件詐騙泛濫的最大原因是無需對方同意,只要知道郵件地址就可以發送信息,這種特性與電話是一模一樣的。
再加上電子郵件基於的SMTP和POP3協議,是屬於Internet基礎的TCP/IP協議簇,而全世界都在使用的通用協議也導致了用戶可以使用任何一種客戶端,以任何一種方式查看郵件。
電子郵件的這些特質導致了著名的垃圾郵件問題,也誕生了Anti-spam這一反垃圾郵件技術,但基於大數據與機器學習的Anti-spam並不是萬能的,這一技術的實現在於數據提取與特徵匹配,追求的是風險與成本的平衡,所以是不可能攔截所有垃圾郵件的。歸根結底,電子郵件詐騙是是一種相對技術含量較低的騙術,但對騙子來說則更是低風險、高回報。
回到此次搜狐的案例上,這種電子郵件詐騙在結合了社會工程學後迸發的威力無疑是巨大的,因為這些攻擊來自受信任的對象,且郵件內容和口吻也都是熟悉的、要求回復的時間緊迫,因此才使得其真假難以識別。再加上,這類郵件往往很少會攜帶可檢測攔截的URL或惡意附件等攻擊載荷,能夠繞過一般的郵件安全防護機制。
事實上,想要避免被中招搜狐此次這樣的釣魚郵件,最好的應對措施就是遇到索取個人信息的郵件時,藉助其它方式確認一下文件的真實性,比如在公司內網或工作群里吱一聲。