文｜三易生活

如今，網(wǎng)絡(luò)詐騙毫無疑問可以說是互聯(lián)網(wǎng)改變社會生活的一個(gè)負(fù)面產(chǎn)物，并且也已經(jīng)成為了各國執(zhí)法機(jī)構(gòu)嚴(yán)厲打擊的對象。但可能與許多朋友想象的不同，不僅僅是對互聯(lián)網(wǎng)不熟悉的中老年人成為了網(wǎng)絡(luò)詐騙的重災(zāi)區(qū)，年輕人也同樣容易中招，甚至于互聯(lián)網(wǎng)行業(yè)從業(yè)者本身也難以幸免。

日前，#搜狐員工遭遇工資補(bǔ)助詐騙#就出現(xiàn)在了微博熱搜榜中。據(jù)了解，搜狐公司的員工在5月18日收到了一封來自“搜狐財(cái)務(wù)部”、名為《5月份員工工資補(bǔ)助通知》的郵件，有20余名員工按郵件中附件的要求掃碼，并填寫了銀行賬號等信息，但最終不但沒有等到所謂的補(bǔ)助，卡中的余額也被劃走。

據(jù)張朝陽在微博上透露的信息顯示，此事是因?yàn)樗押晃粏T工的內(nèi)部郵箱密碼被盜，使得盜賊冒充財(cái)務(wù)部發(fā)郵件給了員工。此事被發(fā)現(xiàn)后技術(shù)部門緊急進(jìn)行了處理，資金損失總額少于5萬元，并且此事不涉及對公共服務(wù)的個(gè)人郵箱xyz@sohu. com。盡管說此次受害的搜狐員工損失不大，但是影響卻顯然不小，畢竟大家發(fā)現(xiàn)原來互聯(lián)網(wǎng)大廠在網(wǎng)絡(luò)詐騙上也不能“免俗”。

那么騙子是如何騙走搜狐員工的錢呢？按搜狐員工們的說法，是“因?yàn)猷]件后綴是公司郵箱，所以少了很多防備心理”，以及“平時(shí)報(bào)銷也會提供銀行卡號，所以沒有特別在意”。

其實(shí)，這一次的詐騙是一套“OA釣魚”與詐騙的組合拳，結(jié)合了社會工程學(xué)和網(wǎng)絡(luò)攻擊。所謂”O(jiān)A釣魚“就是針的對企業(yè)OA系統(tǒng)，攻擊者會在網(wǎng)絡(luò)上大規(guī)模采集不同企業(yè)或機(jī)構(gòu)員工的郵箱地址，然后針對弱口令、也就是密碼簡單的企業(yè)郵箱進(jìn)行“網(wǎng)絡(luò)釣魚”或直接“撞庫”，并拿到企業(yè)OA用的內(nèi)部郵箱。

在有了內(nèi)部郵箱賬號后，攻擊者就相當(dāng)于是打入了企業(yè)內(nèi)部。然后就可以模仿企業(yè)常規(guī)的郵件寫一個(gè)正常的“補(bǔ)貼通知”，并直接群發(fā)給OA系統(tǒng)中的所有人。由于攻擊者使用了“補(bǔ)貼”這樣一個(gè)模糊的詞匯，顯然也直接提升了一般人分辨的難度。再加上由于郵件是來自公司內(nèi)部郵箱，所以也會進(jìn)一步降低受害者的防范心理，讓受害者對于郵件的信任度提高，最終點(diǎn)擊額外的附件。

對于此事，360集團(tuán)董事長周鴻祎在社交平臺表示，“只要你打開看，就會有惡意程序或代碼利用漏洞入駐，然后對你發(fā)起進(jìn)一步網(wǎng)絡(luò)攻擊”。

沒錯(cuò)，在郵件中包含的附件才是此事真正的主體。盡管說，這一份被偽裝起來的附件真正內(nèi)容無從得知，但不出意外的話，要么是木馬程序、要么就是一個(gè)指向釣魚網(wǎng)站的鏈接?？紤]到此事并非“放長線釣大魚”，所以用鏈接導(dǎo)向釣魚網(wǎng)站的可能性也極大。

目前，許多釣魚網(wǎng)站都被設(shè)計(jì)地極為擬真，甚至于通過獲取請求流量中的特征、例如屏幕分辨率信息，能夠來辨別受害者的手機(jī)是Android還是iOS，甚至如果檢測到訪問設(shè)備是電腦，還會提示“請使用手機(jī)訪問”。同時(shí)要求填寫的信息會是寫姓名、身份證號、銀行卡號、手機(jī)號和驗(yàn)證碼，通常反而不會涉及密碼。這也是由于如今大多數(shù)機(jī)構(gòu)會使用驗(yàn)證碼這種隨機(jī)性極強(qiáng)的動態(tài)密鑰，來代替?zhèn)鹘y(tǒng)的密碼。

騙子在拿到了驗(yàn)證碼后，結(jié)合手機(jī)號碼、身份證號碼、銀行卡號，就已經(jīng)能夠讓銀行“配合”轉(zhuǎn)移受害者的財(cái)產(chǎn)了。而在銀行眼中，既然這一次請求獲得了賬號關(guān)聯(lián)手機(jī)號提供的驗(yàn)證碼，自然就被會認(rèn)為是賬號主人在進(jìn)行操作。

簡單來說，此次搜狐員工被騙，就是騙子以“補(bǔ)貼”為名誘之以利，然后讓受害者自己主動交出了“洗劫”銀行卡的關(guān)鍵——驗(yàn)證碼。

事實(shí)上，早在明代張應(yīng)俞的《騙經(jīng)》中就已經(jīng)揭露了大量的騙術(shù)，如今隨著互聯(lián)網(wǎng)的普及，騙術(shù)也更為多樣化，但郵件詐騙其實(shí)是屬于互聯(lián)網(wǎng)時(shí)代最古老的詐騙模式。

那么問題就來了，隨著技術(shù)的進(jìn)步，利用電子郵件進(jìn)行詐騙的行為為什么沒有銷聲匿跡呢？這其實(shí)是因?yàn)殡娮余]箱本身并沒有消亡，只是不再是互聯(lián)網(wǎng)應(yīng)用的主角，它也并沒有被微信、QQ等即時(shí)通訊工具取代。

電子郵件因其具備可存檔、可追溯，且去中心化的特性，一直以來作為比即時(shí)通訊應(yīng)用更加正式的溝通渠道存在，并被廣泛地應(yīng)用在工作中，在電子郵件中傳輸附件內(nèi)容也是工作中經(jīng)常遇到的情況。換句話來說，在飛書、釘釘真正意義上代替企業(yè)OA、代替電子郵件前，電子郵件作為一個(gè)工作場景下正式的溝通機(jī)制勢必還會長期存在。

但電子郵件本身作為一個(gè)古老的互聯(lián)網(wǎng)產(chǎn)品，其安全機(jī)制其實(shí)是相對落后的。

根據(jù)此前美國聯(lián)邦調(diào)查局的統(tǒng)計(jì)數(shù)據(jù)顯示，商業(yè)電子郵件詐騙（BEC）雖然在投訴量排行榜上只位居第九，但已造成了24億美元損失的超高“戰(zhàn)績”。而電子郵件詐騙泛濫的最大原因是無需對方同意，只要知道郵件地址就可以發(fā)送信息，這種特性與電話是一模一樣的。

再加上電子郵件基于的SMTP和POP3協(xié)議，是屬于Internet基礎(chǔ)的TCP/IP協(xié)議簇，而全世界都在使用的通用協(xié)議也導(dǎo)致了用戶可以使用任何一種客戶端，以任何一種方式查看郵件。

電子郵件的這些特質(zhì)導(dǎo)致了著名的垃圾郵件問題，也誕生了Anti-spam這一反垃圾郵件技術(shù)，但基于大數(shù)據(jù)與機(jī)器學(xué)習(xí)的Anti-spam并不是萬能的，這一技術(shù)的實(shí)現(xiàn)在于數(shù)據(jù)提取與特征匹配，追求的是風(fēng)險(xiǎn)與成本的平衡，所以是不可能攔截所有垃圾郵件的。歸根結(jié)底，電子郵件詐騙是是一種相對技術(shù)含量較低的騙術(shù)，但對騙子來說則更是低風(fēng)險(xiǎn)、高回報(bào)。

回到此次搜狐的案例上，這種電子郵件詐騙在結(jié)合了社會工程學(xué)后迸發(fā)的威力無疑是巨大的，因?yàn)檫@些攻擊來自受信任的對象，且郵件內(nèi)容和口吻也都是熟悉的、要求回復(fù)的時(shí)間緊迫，因此才使得其真假難以識別。再加上，這類郵件往往很少會攜帶可檢測攔截的URL或惡意附件等攻擊載荷，能夠繞過一般的郵件安全防護(hù)機(jī)制。

事實(shí)上，想要避免被中招搜狐此次這樣的釣魚郵件，最好的應(yīng)對措施就是遇到索取個(gè)人信息的郵件時(shí)，借助其它方式確認(rèn)一下文件的真實(shí)性，比如在公司內(nèi)網(wǎng)或工作群里吱一聲。