你以為釣魚是容易的事?近日,多家企業員工收到了一封内容為“工資補貼發放”的郵件,由于發件人的郵箱是企業官方域名,部分員工便信以為真,最終,不少人成為了“釣魚”郵件的受害者,現在小編就來說說關于你以為釣魚是容易的事?下面内容希望能幫助到你,我們來一起看看吧!
你以為釣魚是容易的事
近日,多家企業員工收到了一封内容為“工資補貼發放”的郵件,由于發件人的郵箱是企業官方域名,部分員工便信以為真,最終,不少人成為了“釣魚”郵件的受害者。
搜狐是受害企業之一。5月25日,搜狐公司發布聲明稱,5月18日淩晨,部分員工郵箱收到詐騙郵件。經調查,實為某員工使用郵件時被意外釣魚導緻密碼洩露,進而被冒充财務部盜發郵件。據統計,共有24名搜狐員工被騙取四萬餘元人民币。
搜狐公司創始人張朝陽針對此事表示,“事情不像大家想象那麼嚴重”。确實,因為這次事件沒有涉及到搜狐公司對外部用戶提供的郵件服務,資産損失也被控制在4萬多元,從網絡安全事件的角度,這是一個相對低代價的結果。
但是,這件事的發生也給更多企業敲響了安全警鐘。針對此事,21世紀經濟報道記者采訪了多位網絡安全領域專家,他們向記者分析了“釣魚”郵件的攻擊手段以及該如何預防此類安全事件的發生。
“釣魚”郵件如何騙錢?
據騰訊安全高級安全專家李鐵軍介紹,攻擊者進行“釣魚”郵件攻擊,通常是先獲得某個内部員工的ID,然後再冒用這個員工的身份給同事發郵件。
而且,為了以假亂真,這個郵件的文檔内容一定是針對該公司精心定制的,比如在文本格式上會十分“正式”,包括公司擡頭、公文描述等等,然後,文檔中會帶有一個二維碼,隻要員工掃描該碼,便會進入到“釣魚”網頁。
“釣魚”網頁的内容也同樣狡猾,手機端通常看不到完整的網址,受害者也很難意識到這是個釣魚網站,然後就會按照文字提示提交自己的姓名、身份證号、銀行卡号、手機号、卡内餘額等隐私信息。
與此同時,“釣魚”攻擊者也拿到了上述信息,并會在另外一個地方進行消費,最後一步就是從受害者處取得消費所需要的手機驗證碼。在這個環節,李鐵軍告訴記者,其實短信會提示用戶驗證碼是用于做什麼,但很多人都不仔細看短信内容就直接填寫驗證碼,這也最終導緻财産的損失。
整個過程中,“釣魚”攻擊能夠成功實施的前提是,攻擊者獲取了企業内部員工的郵箱賬号和密碼。對于受害者而言,若收到的“釣魚”郵件來自内部郵箱,其防備意識也會大大降低。
奇安信行業安全研究中心主任裴智勇告訴記者,現在,郵件攻擊已經成為針對企業最簡單,但也最有效、最具迷惑性的攻擊方法,每年被盜的各類郵箱賬号數以百萬計,成功實施攻擊的事件也是經常發生。
此外,裴智勇稱,電子郵件是最早的網絡通信方式,設計之初并沒有任何安全考慮,所以普通的電子郵件基本都是明文傳輸,而且沒有加密校驗的。
比如郵件發出之後在傳輸過程中,不論被誰截獲,都能讀取和修改原文,而且如果郵件被人中途截獲、修改,郵件的接收者是無法校驗郵件是否被修改過的。所以有些軟件可以把發出郵件的正文截下來,修改之後再發出去。因此,攻擊者一旦進入,整個郵件系統也面臨安全風險。
目前,企業内部郵箱系統最關鍵的防線就是員工的郵箱賬号和密碼,但可惜的是,這道防線十分脆弱。
多位安全專家均表示,如果一個系統僅通過賬号和密碼就能登錄,那它的安全風險是極大的。因為在目前的網絡環境下,任何人的賬号密碼都有洩露的風險,尤其是很多人喜歡相同的賬号和密碼,這也大大增加了信息被竊取的概率。
系統需要“不相信任何人”
當員工的賬号和密碼被攻擊者獲取,這也就成為了企業的安全漏洞。如上文所說,如果攻擊者隻是通過“釣魚”郵件騙取了其他員工的一些财産,這可能是損失最小的結果。不然,攻擊者若投放類似勒索病毒的惡意軟件,或者是竊取公司機密,那對企業的損失将會更大。
而且,據李鐵軍介紹,“釣魚”攻擊的追蹤溯源也是一項極其困難的事情,一方面是成本耗不起,另一方面是溯源需要的安全數據不歸企業掌握。此外,即便是溯源成功,有些攻擊者是冒用他人身份,或者身處海外,這都為維權工作帶來了阻礙。
因此,面對“釣魚”攻擊,需要以預防為主。但究竟如何防止因員工的信息洩露而造成公司的安全風險?從郵箱系統的角度,裴智勇建議,企業郵箱系統應開啟強制弱口令檢測,強制定期改密碼,以最大限度減輕郵箱盜号風險。
除此之外,很多大型互聯網公司的做法則是抛棄對密碼的依賴,采取一種零信任的安全架構,對賬号的每次登錄都進行多重驗證。
所謂“零信任”,它的核心思想就是不相信任何人。現有傳統的訪問驗證模型隻需知道IP地址或者主機信息等即可,但在“零信任”模型中,需要更加明确的信息才可以。
網宿科技副總裁呂士表告訴記者,傳統的安全架構,隻要用戶登錄郵箱成功之後,便不會再對用戶做其它的合規性檢查,對用戶的授權也是一直保持不變的。“這種一次認證,永久授權的機制,很容易發生郵箱賬号盜用、從而入侵内網盜竊數據的安全事件”。
“而在零信任架構下,會對用戶每一次登錄進行多因子認證,包括用戶的郵箱賬号密碼、短信驗證、所綁定的硬件設備、基于時間地理等,使原來的身份驗證更加安全,這也就避免了失竊的風險。”呂士表說。
在李鐵軍看來,每個企業其實都會有一定的安全防禦舉措,但“釣魚”攻擊之所以被廣泛應用,是因為它是針對人性的漏洞去攻擊,這也是傳統的安全防護無法應對的。而零信任安全,可以大大降低人為的風險因素。
當然,任何安全防護都無法保證絕對的安全,零信任安全亦如此。所以在建設相對完整的安全系統的同時,網絡安全專家們認為,企業也需要定期對員工進行安全意識培訓,以及組織一些安全攻防演練。
更多内容請下載21财經APP
,