小盾安全技术专家鲍一骏:如何防范邮件诈骗

胡群2022-05-25 21:25

记者 胡群  “事情不像大家想象那么严重”。5月25日上午,搜狐董事局主席兼CEO张朝阳在微博上表示,一名搜狐员工内部邮箱密码被盗,盗贼冒充财务部发信给员工,而技术部门在发现之后也进行了紧急处理,造成的资金损失总额少于5万元。此次事件不涉及对公共服务的个人邮箱。

事件起因是搜狐员工在5月18日早晨收到一封来自“搜狐财务部”名为《5月份员工工资补助通知》的邮件,部分员工按照附件要求扫码,并填写了银行账号等信息。意外的是,他们并没有收到所谓的补助,反而工资卡内的余额被转走。

近年,随着通讯、网络技术的快速发展与应用,网络诈骗案件频发,犯罪手段与技术不断迭代升级,新型骗术层出不穷。诈骗分子如何通过邮件进行诈骗并将银行卡内资金转走的?如何防范类似骗局?为此,采访同盾科技旗下全栈式业务安全解决方案服务商——小盾安全技术专家鲍一骏。

网络诈骗分子如何实现使用公司内部邮箱域名发送邮件?员工的邮件地址又是如何被获取的?

鲍一骏实现用公司域名发送有两种常规手段:

一、攻击者通过社会工程学破解获取公司内部邮箱,例如:攻击者掌握相关企业邮箱系统的管理缺陷或安全漏洞,安插“病毒”获取数据;部分废弃公共邮箱未及时回收,被不法分子利用(已离职员工或者员工邮箱账号密码泄露);邮箱管理员账号泄露(被钓鱼或其他情况);或者公司内部员工与外部攻击者勾结(利益分成)。

二、攻击者伪造公司域名,通过技术手段,将发件人的域名包装得与内部域名一样或相似。

:诈骗分子要获取员工邮件地址一般有几种途径?

鲍一骏攻击者一般有三种方式可以获取员工邮件地址:根据公司对外留下的邮箱格式进行枚举猜测;离职人员或内部员工泄露;以及攻击者成功攻击邮箱系统后台后获取。

:这种诈骗是如何实现的?被骗者填写银行账号、身份证号码等信息后,不法分子进行哪些操作可以将钱转走?

鲍一骏攻击者通过钓鱼邮件以公司财务部门名义向员工发送“假通知”后,诱导其打开相应链接或者下载运行邮件附件,并在页面中填写个人身份和银行卡等敏感信息。正常来说银行卡、身份证、手机号泄露不一定会造成资金损失,但此类案件中,被钓鱼的员工在下载附件填写信息或者点击邮件里的超链后,攻击者会借用已钓鱼到的信息做二次动态验证(比如核实补贴发送的银行卡预留手机号验证等)。被钓鱼者在完成验证码互动过程中,攻击者已经快速在其他平台进行了绑卡操作,完成全部绑卡流程,从而在其控制的三方平台或者渠道进行支付,支付方式呈现多样化,如代扣、代付、额度授信、银行卡支付等,将被钓鱼者的资金转走。

此外,攻击者也可以根据员工填写的信息和密码,直接登录一些用户已经绑定完成的平台进行小额消费,比如某一些购物平台,这样就可以绕开需要绑定银行卡的验证码交互。

:企业邮箱的安全性如何保证?员工应注意什么?

鲍一骏针对企业邮箱安全性保障,我们建议从两个方向出发:一是邮箱服务端的安全性保障,如企业增加服务端的邮件网关等安全防护,加强邮箱安全策略的实施;二是邮箱客户端的安全性保障,如增加邮箱多因素认证,专有密码的使用落实。公司内部也可以多举办安全培训与钓鱼演戏等活动,提高大家安全意识。

针对员工,我们建议:要严格按管理员要求,强化自己邮箱密码,尽量采用多因素认证,以及强密码策略。另外,当下攻击手段多种多样,针对有诱惑性内容的邮件,一定要多个心眼,可以通过仔细核对发件人地址,及时与发件人核实等方式二次确认,并警惕不明邮件的链接或附件,以免落入诈骗圈套。

请大家格外注意,任何到账类交易,绝不会要求收款方提供银行的短信验证码,一旦对方索要短信验证码,基本可以认定为诈骗。

版权声明:以上内容为《经济观察报》社原创作品,版权归《经济观察报》社所有。未经《经济观察报》社授权,严禁转载或镜像,否则将依法追究相关行为主体的法律责任。版权合作请致电:【010-60910566-1260】。
金融市场主任
主要关注银行、信托、fintech领域市场动态。
Baidu
map