搜狐员工邮箱被“钓鱼诈骗” 企业内部邮箱如何保证系统安全?

搜狐员工邮箱被“钓鱼诈骗” 企业内部邮箱如何保证系统安全?插图

5月25日,搜狐董事局主席兼首席执行官张朝阳称,“搜狐某员工内部邮箱密码被盗,小偷冒充财务部门给该员工发了一封信。发现后技术部门紧急处理,资金损失总计不到5万元。”张朝阳表示,该事件不涉及搜狐用于公共服务的个人邮箱。

随后搜狐官方微博发布声明称,5月18日凌晨,搜狐部分员工收到诈骗邮件。经调查发现,某员工在使用邮箱时不慎被钓鱼,导致密码泄露,随后冒充财务部向其发送邮件。据统计,共有24名员工被骗4万余元。目前正在等待警方的调查进展和处理结果。

果壳财经记者了解到,围绕电子邮件的诈骗并不少见,主要包括冒充上下游客户和领导同事的钓鱼攻击,包括木马,目的是窃取公司机密病毒邮件等。

安信产业安全研究中心主任齐志勇告诉果壳财经记者,就目前能看到的信息来看,这很可能是一次非常典型的OA钓鱼攻击和网络诈骗攻击相结合的连环网络攻击。

“为了防范此类攻击,企业不仅需要部署邮件安全系统,还要经常进行员工安全意识教育,进行各种实战攻防演练。同时,企业邮箱系统需要开启强制弱密码检测,定期更换密码,最大限度降低邮箱被黑的风险。”颜志勇说。

“钓鱼邮件”并非个例,开放式体系易成网络攻击入口

所谓OA钓鱼,就是攻击者冒充系统管理员或运维人员,向员工发送钓鱼邮件,诱骗员工在假冒的钓鱼网站上输入自己的账号和密码。一旦攻击者窃取了员工的账号和密码,他就会以员工的身份登录邮箱,然后向更多的其他员工发送诈骗邮件。

裴智勇说,对于后续受害者来说,由于邮件来自内部邮箱,可信度大大提高,最终上当受骗往往是必然的。当然,盗取邮箱账号的方式不止一种,还有很多其他方式。其实还要等相关部门的进一步调查。

搜狐表示,事件发生后,公司IT和安全部门进行了紧急处理,并向公安机关报案。目前正在等待警方的调查进展和处理结果。搜狐表示,此事件不涉及搜狐向用户提供的邮件服务。“搜狐将继续提升网络安全技术,维护公司和个人的网络安全,更好地提供网络服务。”

事实上,搜狐遭遇的“钓鱼邮件”并非个例。

2022年1月,江苏省公安厅连云港局发布警情提示,有不法分子冒充社保部门发放“社保补贴”,向受害人发送诈骗邮件。受害者点击后,银行卡被盗。2017年至今,我国外贸企业也受到了“商函”类钓鱼邮件范围的攻击。一旦用户不小心运行了钓鱼邮件的附件文档,就会被植入远程控制木马,企业的机密信息就会被不法黑客窃取。

伦科科技(广州)有限公司创始人兼CEO陈磊华在接受贝壳财经采访时表示,针对企业的钓鱼邮件一般采用伪装邮件的方式,欺骗收件人回复账号、密码等信息给指定收件人;或者引导收件人连接到特殊网页。这些网页通常伪装成和真实网站一样的,比如银行或理财网页,让注册人信以为真,输入信用卡或银行卡号、户名、密码,就会导致信息被盗。

陈磊华说,电子邮件系统本身是一个开放的系统,因此特别容易成为网络攻击的入口。“虽然微信、微博等社交工具的普及,在一定程度上取代了电子邮件的作用,但与国外的交流仍以电子邮件为主。因此,电子邮件也容易受到国际网络攻击,拥有机密数据的大公司往往容易受到攻击”。

相比国内公司,外企更容易受到邮件诈骗。美国联邦调查局近日发出警告,声称在2016年6月至2021年12月期间,商业电子邮件妥协(BEC)攻击涉及的金额高达430亿美元。根据联邦调查局的报告,该机构的互联网犯罪中心(IC3)共收到241,200起投诉。

“电子邮件是最早的网络通讯方式,设计之初没有安全方面的考虑。普通邮件基本都是明文传输,没有加密检查。简单来说,有些软件可以把外发邮件的文字剪下来,修改后再发出去。”裴智勇告诉果壳财经记者,“不过,现在大规模贴吧

件服务商都设置了很多安全机制,比如,收邮件的服务系统可以向发邮件的服务系统发出一些验证信息,以确认邮箱或邮件来源是否可信等。”

对于个人可能遭遇的诈骗邮件,连云港市警方提示称,政务服务不会通过邮件形式提醒,凡是遇到不明链接、二维码务必谨慎操作;短信验证码更不能随意告知他人。同时提醒各大企业,定期检查内部邮箱登录模式、改设复杂密码、开通安全认证,提醒员工如遇类似情况,首先要与公司联系核实情况。

邮箱安全如何保护?部署高安全等级邮箱系统提高用户安全意识

5月25日,安恒信息安全专家在接受贝壳财经记者采访时表示,邮箱的安全保护是多维的,企业邮件服务器防护主要包括服务器本身系统安全防护、邮件服务安全防护、邮件内容安全防护,“其中前两条都属于常规防护,第三条邮件内容安全防护现在普及率还不高。邮件内容安全防护主要依靠对发件人账号审计、ueba审计、邮件内容人工智能审计、邮件附件文件沙箱审计、邮件包含的超链接网站安全审计等,并配套对群发邮件的范围和数量进行管理的安全策略,才可以有效及时地发现威胁、拦截威胁,最大程度上限制威胁的危害性。”

裴智勇认为,对于钓鱼邮件的防护,首先企业应该部署邮件安全系统或邮件威胁识别系统,“本次事件关联的企业,本身也是国内领先的邮件服务商,此类系统可能也是健全的。只不过,钓鱼邮件本身确实很难识别,难免会有漏网之鱼。而且,类似的成功攻击的事件实际上经常发生,每年被盗的各类邮箱账号数以百万计,这都是安全管理疏忽的表现。而员工被钓鱼邮件所骗,也是自身安全意识不足的体现。”

陈磊华表示,对于攻击者“蓄谋已久”的APT攻击(高级可持续威胁攻击),被攻击企业往往很难招架。“攻击者想要攻击一家企业的邮箱,可以采取‘迂回’的方式,如先渗透其合作伙伴的邮箱,再从合作伙伴的邮箱发来合作方案等钓鱼邮件,被攻击企业很难会不中招。”

在他看来,目前传统的钓鱼邮件、垃圾邮件、病毒邮件等威胁依然是邮件安全面临的主要挑战,此类安全问题无法根除,是一场持久战。企业要做到采用高安全等级的邮箱系统及配套防御系统,提升整体信息安全等级如定期更新密码,开启邮箱异常提醒、IP限制等基础安全策略。

此外,用户安全意识问题也同样不容小觑,“人往往是安全锁链中最脆弱的一环,由安全意识不足造成的钓鱼、信息泄露等事件时有发生。”陈磊华表示,个人用户需要做到安装杀毒软件,开启自动扫描邮件附件,避免使用弱密码并定期更换,设置邮箱账号登录保护,不盲目打开或者点击邮件中的链接和附件,对信任的朋友或者同事的邮件保持警惕心,必要时电话确认。

裴志勇表示,为了防范此类攻击,企业不仅需要部署邮件安全系统,同时还要经常进行员工安全意识教育,进行各类实战攻防演习。同时,企业邮箱系统需要开启强制弱口令检测,强制定期改密码,以最大限度地减轻邮箱盗号风险。

安恒信息安全专家表示,对于主要依靠账号、密码、多因子认证等方式保护的个人邮箱,要养成不在陌生主机上使用账号密码登录个人邮箱的习惯,更多地使用扫描二维码或者其他一次一密的方式登录认证,使用完毕后记得退出。

记者联系邮箱:luoyidan@xjbnews.com

新京报贝壳财经记者罗亦丹 编辑 徐超 校对 柳宝庆

标签: 裴智勇  陈磊华  电子邮件  搜狐  贝壳财经 

标签

发表评论