钓鱼邮件盯上了公司域名

通联网络是国内著名的虚拟主机和域名注册提供商。独创的第6代虚拟主机管理系统,拥有在线数据恢复、Isapi自定义,木马查杀等30余项功能.千M硬件防火墙,为您保驾护航!双线虚拟主机确保南北畅通无阻!

钓鱼邮件盯上了公司域名

2022年5月31日 云服务器 0

一份网传聊天记录显示,搜狐全体员工在5月18日早晨收到一封来自“搜狐财务部”名为《5月份员工工资补助通知》的邮件。根据该邮件提供的操作流程,大量员工按照附件扫码,并填写了银行账号等信息,可最终不但没有等到所谓的补助,工资卡内的余额也被划走。5月25日,搜狐创始人、董事局主席兼首席执行官张朝阳在社交平台发文确认了这一传闻,并表示受损金额不是很大。

专家称,这种钓鱼诈骗形式并不少见,有的安全公司在做钓鱼邮件演习时,有不少员工当真。那么,员工邮件是如何被获取的?钓鱼邮件诈骗是如何实现的?不法分子将钱转走,究竟进行了哪些操作?不法分子为何能实现用公司域名的邮件群发?企业邮箱的安全性如何保证?员工又该注意什么?《中国消费者报》记者对此进行了深入调查。

“我们公司曾经做过一个类似的钓鱼邮件演习,有不少同事当真了。”同盾科技有限公司市场部的项茜雯对《中国消费者报》记者说。据记者了解,类似同盾科技这样的网络安全专业公司,日常都会进行各种网络安全演练。项茜雯发给记者的公司邮件截图显示,该公司安全部门以端午节抽奖为由发送钓鱼邮件,结果有不少同事中招,成功提交了自己的账号与密码。

据搜狐内部员工透露,之所以会上当,一是因为日常很多报销项目都是网络上进行的,二是收到的钓鱼邮件后缀是搜狐域名,这样自然会以为是公司财务发的。

5月25日下午,搜狐在微博发布声明称,5月18日凌晨,搜狐部分员工邮箱收到诈骗邮件。经调查,实为某员工使用邮件时被意外钓鱼导致密码泄露,进而被不法分子冒充财务部盗发邮件。据统计,共有24名员工被骗取4万余元。目前正在等待警方的调查进展和处理结果。“搜狐这种情况,我们猜测攻击者采用的是通过代扣方式来转钱,所以损失金额不大。”项茜雯说。

“邮件攻击是针对企业最简单,但也最有效、最具迷惑性的攻击方法。”奇安信行业安全研究中心主任裴智勇对《中国消费者报》记者说。

钓鱼邮件是如何实现使用公司域名后缀的呢?员工的邮件地址又是如何被获取的呢?

“实现用公司域名发送有两种常规手段。”小盾安全技术专家狴犴告诉《中国消费者报》记者,“一是攻击者通过社会工程学破解获取公司内部邮箱,例如攻击者掌握相关企业邮箱系统的管理缺陷或安全漏洞,安插病毒获取数据;部分废弃公共邮箱未正常回收,被不法分子利用(已离职的员工或者员工邮箱账号密码泄露);邮箱管理员账号泄露(被钓鱼或其他情况);内部员工与外部攻击者勾结(利益分成)。二是攻击者伪造公司域名,通过技术手段,将发件人的域名包装得与内部域名一样或相似。”

“这种骗术很常见,尤其是去年最多。”中国人民公安大学侦查学院副教授王晓伟对《中国消费者报》记者说,“这种骗术可能就是内部员工邮箱被盗,尤其是财务人员的手机有时候无意间中了木马,导致邮箱或相关账户泄露,不法分子通过内部邮件系统给员工发带有链接的邮件。而由于后缀是公司域名,内部员工的防范心理就会比较弱,就会根据邮件要求泄露自己的账户信息。”

据王晓伟介绍,还有一种情况是骗子先潜入一些内部群,或者是用一些域名相近的邮箱给某个公司或员工发有链接的钓鱼信息,诱导员工一步一步地操作。“这种情况比较多,类似常见的ETC失效之类的操作模式,覆盖面也比较大,不法分子就博一个概率。”他说。

据狴犴介绍,获取员工的邮件地址有几个途径,攻击者根据公司对外留下的邮箱格式进行枚举猜测;离职人员或内部员工泄露;攻击者成功攻击邮件系统后台后获取。

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注