资讯速递 > 正文

搜狐破防:“钓鱼”何以得逞

2022-05-27

来源:21 Tech

近日,多家企业员工收到了一封内容为“工资补贴发放”的邮件,由于发件人的邮箱是企业官方域名,部分员工便信以为真,最终,不少人成为了“钓鱼”邮件的受害者。

搜狐是受害企业之一。5月25日,搜狐公司发布声明称,5月18日凌晨,部分员工邮箱收到诈骗邮件。经调查,实为某员工使用邮件时被意外钓鱼导致密码泄露,进而被冒充财务部盗发邮件。据统计,共有24名搜狐员工被骗取四万余元人民币。

搜狐公司创始人张朝阳针对此事表示,“事情不像大家想象那么严重”。确实,因为这次事件没有涉及到搜狐公司对外部用户提供的邮件服务,资产损失也被控制在4万多元,从网络安全事件的角度,这是一个相对低代价的结果。

但是,这件事的发生也给更多企业敲响了安全警钟。针对此事,21世纪经济报道记者采访了多位网络安全领域专家,他们向记者分析了“钓鱼”邮件的攻击手段以及该如何预防此类安全事件的发生。

“钓鱼”邮件如何骗钱?

据腾讯安全高级安全专家李铁军介绍,攻击者进行“钓鱼”邮件攻击,通常是先获得某个内部员工的ID,然后再冒用这个员工的身份给同事发邮件。

而且,为了以假乱真,这个邮件的文档内容一定是针对该公司精心定制的,比如在文本格式上会十分“正式”,包括公司抬头、公文描述等等,然后,文档中会带有一个二维码,只要员工扫描该码,便会进入到“钓鱼”网页。

“钓鱼”网页的内容也同样狡猾,手机端通常看不到完整的网址,受害者也很难意识到这是个钓鱼网站,然后就会按照文字提示提交自己的姓名、身份证号、银行卡号、手机号、卡内余额等隐私信息。

与此同时,“钓鱼”攻击者也拿到了上述信息,并会在另外一个地方进行消费,最后一步就是从受害者处取得消费所需要的手机验证码。在这个环节,李铁军告诉记者,其实短信会提示用户验证码是用于做什么,但很多人都不仔细看短信内容就直接填写验证码,这也最终导致财产的损失。

整个过程中,“钓鱼”攻击能够成功实施的前提是,攻击者获取了企业内部员工的邮箱账号和密码。对于受害者而言,若收到的“钓鱼”邮件来自内部邮箱,其防备意识也会大大降低。

奇安信行业安全研究中心主任裴智勇告诉记者,现在,邮件攻击已经成为针对企业最简单,但也最有效、最具迷惑性的攻击方法,每年被盗的各类邮箱账号数以百万计,成功实施攻击的事件也是经常发生。

此外,裴智勇称,电子邮件是最早的网络通信方式,设计之初并没有任何安全考虑,所以普通的电子邮件基本都是明文传输,而且没有加密校验的。

比如邮件发出之后在传输过程中,不论被谁截获,都能读取和修改原文,而且如果邮件被人中途截获、修改,邮件的接收者是无法校验邮件是否被修改过的。所以有些软件可以把发出邮件的正文截下来,修改之后再发出去。因此,攻击者一旦进入,整个邮件系统也面临安全风险。

目前,企业内部邮箱系统最关键的防线就是员工的邮箱账号和密码,但可惜的是,这道防线十分脆弱。

多位安全专家均表示,如果一个系统仅通过账号和密码就能登陆,那它的安全风险是极大的。因为在目前的网络环境下,任何人的账号密码都有泄露的风险,尤其是很多人喜欢相同的账号和密码,这也大大增加了信息被窃取的概率。

系统需要“不相信任何人”

当员工的账号和密码被攻击者获取,这也就成为了企业的安全漏洞。如上文所说,如果攻击者只是通过“钓鱼”邮件骗取了其他员工的一些财产,这可能是损失最小的结果。不然,攻击者若投放类似勒索病毒的恶意软件,或者是窃取公司机密,那对企业的损失将会更大。

而且,据李铁军介绍,“钓鱼”攻击的追踪溯源也是一项极其困难的事情,一方面是成本耗不起,另一方面是溯源需要的安全数据不归企业掌握。此外,即便是溯源成功,有些攻击者是冒用他人身份,或者身处海外,这都为维权工作带来了阻碍。

因此,面对“钓鱼”攻击,需要以预防为主。但究竟如何防止因员工的信息泄露而造成公司的安全风险?从邮箱系统的角度,裴智勇建议,企业邮箱系统应开启强制弱口令检测,强制定期改密码,以最大限度减轻邮箱盗号风险。

除此之外,很多大型互联网公司的做法则是抛弃对密码的依赖,采取一种零信任的安全架构,对账号的每次登陆都进行多重验证。

所谓“零信任”,它的核心思想就是不相信任何人。现有传统的访问验证模型只需知道IP地址或者主机信息等即可,但在“零信任”模型中,需要更加明确的信息才可以。

网宿科技副总裁吕士表告诉记者,传统的安全架构,只要用户登陆邮箱成功之后,便不会再对用户做其它的合规性检查,对用户的授权也是一直保持不变的。“这种一次认证,永久授权的机制,很容易发生邮箱账号盗用、从而入侵内网盗窃数据的安全事件”。

“而在零信任架构下,会对用户每一次登陆进行多因子认证,包括用户的邮箱账号密码、短信验证、所绑定的硬件设备、基于时间地理等,使原来的身份验证更加安全,这也就避免了失窃的风险。”吕士表说。

在李铁军看来,每个企业其实都会有一定的安全防御举措,但“钓鱼”攻击之所以被广泛应用,是因为它是针对人性的漏洞去攻击,这也是传统的安全防护无法应对的。而零信任安全,可以大大降低人为的风险因素。

当然,任何安全防护都无法保证绝对的安全,零信任安全亦如此。所以在建设相对完整的安全系统的同时,网络安全专家们认为,企业也需要定期对员工进行安全意识培训,以及组织一些安全攻防演练。