你以為釣魚是容易的事?近日，多家企業員工收到了一封内容為“工資補貼發放”的郵件，由于發件人的郵箱是企業官方域名，部分員工便信以為真，最終，不少人成為了“釣魚”郵件的受害者，現在小編就來說說關于你以為釣魚是容易的事?下面内容希望能幫助到你，我們來一起看看吧!

你以為釣魚是容易的事

近日，多家企業員工收到了一封内容為“工資補貼發放”的郵件，由于發件人的郵箱是企業官方域名，部分員工便信以為真，最終，不少人成為了“釣魚”郵件的受害者。

搜狐是受害企業之一。5月25日，搜狐公司發布聲明稱，5月18日淩晨，部分員工郵箱收到詐騙郵件。經調查，實為某員工使用郵件時被意外釣魚導緻密碼洩露，進而被冒充财務部盜發郵件。據統計，共有24名搜狐員工被騙取四萬餘元人民币。

搜狐公司創始人張朝陽針對此事表示，“事情不像大家想象那麼嚴重”。确實，因為這次事件沒有涉及到搜狐公司對外部用戶提供的郵件服務，資産損失也被控制在4萬多元，從網絡安全事件的角度，這是一個相對低代價的結果。

但是，這件事的發生也給更多企業敲響了安全警鐘。針對此事，21世紀經濟報道記者采訪了多位網絡安全領域專家，他們向記者分析了“釣魚”郵件的攻擊手段以及該如何預防此類安全事件的發生。

“釣魚”郵件如何騙錢？

據騰訊安全高級安全專家李鐵軍介紹，攻擊者進行“釣魚”郵件攻擊，通常是先獲得某個内部員工的ID，然後再冒用這個員工的身份給同事發郵件。

而且，為了以假亂真，這個郵件的文檔内容一定是針對該公司精心定制的，比如在文本格式上會十分“正式”，包括公司擡頭、公文描述等等，然後，文檔中會帶有一個二維碼，隻要員工掃描該碼，便會進入到“釣魚”網頁。

“釣魚”網頁的内容也同樣狡猾，手機端通常看不到完整的網址，受害者也很難意識到這是個釣魚網站，然後就會按照文字提示提交自己的姓名、身份證号、銀行卡号、手機号、卡内餘額等隐私信息。

與此同時，“釣魚”攻擊者也拿到了上述信息，并會在另外一個地方進行消費，最後一步就是從受害者處取得消費所需要的手機驗證碼。在這個環節，李鐵軍告訴記者，其實短信會提示用戶驗證碼是用于做什麼，但很多人都不仔細看短信内容就直接填寫驗證碼，這也最終導緻财産的損失。

整個過程中，“釣魚”攻擊能夠成功實施的前提是，攻擊者獲取了企業内部員工的郵箱賬号和密碼。對于受害者而言，若收到的“釣魚”郵件來自内部郵箱，其防備意識也會大大降低。

奇安信行業安全研究中心主任裴智勇告訴記者，現在，郵件攻擊已經成為針對企業最簡單，但也最有效、最具迷惑性的攻擊方法，每年被盜的各類郵箱賬号數以百萬計，成功實施攻擊的事件也是經常發生。

此外，裴智勇稱，電子郵件是最早的網絡通信方式，設計之初并沒有任何安全考慮，所以普通的電子郵件基本都是明文傳輸，而且沒有加密校驗的。

比如郵件發出之後在傳輸過程中，不論被誰截獲，都能讀取和修改原文，而且如果郵件被人中途截獲、修改，郵件的接收者是無法校驗郵件是否被修改過的。所以有些軟件可以把發出郵件的正文截下來，修改之後再發出去。因此，攻擊者一旦進入，整個郵件系統也面臨安全風險。

目前，企業内部郵箱系統最關鍵的防線就是員工的郵箱賬号和密碼，但可惜的是，這道防線十分脆弱。

多位安全專家均表示，如果一個系統僅通過賬号和密碼就能登錄，那它的安全風險是極大的。因為在目前的網絡環境下，任何人的賬号密碼都有洩露的風險，尤其是很多人喜歡相同的賬号和密碼，這也大大增加了信息被竊取的概率。

系統需要“不相信任何人”

當員工的賬号和密碼被攻擊者獲取，這也就成為了企業的安全漏洞。如上文所說，如果攻擊者隻是通過“釣魚”郵件騙取了其他員工的一些财産，這可能是損失最小的結果。不然，攻擊者若投放類似勒索病毒的惡意軟件，或者是竊取公司機密，那對企業的損失将會更大。

而且，據李鐵軍介紹，“釣魚”攻擊的追蹤溯源也是一項極其困難的事情，一方面是成本耗不起，另一方面是溯源需要的安全數據不歸企業掌握。此外，即便是溯源成功，有些攻擊者是冒用他人身份，或者身處海外，這都為維權工作帶來了阻礙。

因此，面對“釣魚”攻擊，需要以預防為主。但究竟如何防止因員工的信息洩露而造成公司的安全風險？從郵箱系統的角度，裴智勇建議，企業郵箱系統應開啟強制弱口令檢測，強制定期改密碼，以最大限度減輕郵箱盜号風險。

除此之外，很多大型互聯網公司的做法則是抛棄對密碼的依賴，采取一種零信任的安全架構，對賬号的每次登錄都進行多重驗證。

所謂“零信任”，它的核心思想就是不相信任何人。現有傳統的訪問驗證模型隻需知道IP地址或者主機信息等即可，但在“零信任”模型中，需要更加明确的信息才可以。

網宿科技副總裁呂士表告訴記者，傳統的安全架構，隻要用戶登錄郵箱成功之後，便不會再對用戶做其它的合規性檢查，對用戶的授權也是一直保持不變的。“這種一次認證，永久授權的機制，很容易發生郵箱賬号盜用、從而入侵内網盜竊數據的安全事件”。

“而在零信任架構下，會對用戶每一次登錄進行多因子認證，包括用戶的郵箱賬号密碼、短信驗證、所綁定的硬件設備、基于時間地理等，使原來的身份驗證更加安全，這也就避免了失竊的風險。”呂士表說。

在李鐵軍看來，每個企業其實都會有一定的安全防禦舉措，但“釣魚”攻擊之所以被廣泛應用，是因為它是針對人性的漏洞去攻擊，這也是傳統的安全防護無法應對的。而零信任安全，可以大大降低人為的風險因素。

當然，任何安全防護都無法保證絕對的安全，零信任安全亦如此。所以在建設相對完整的安全系統的同時，網絡安全專家們認為，企業也需要定期對員工進行安全意識培訓，以及組織一些安全攻防演練。

更多内容請下載21财經APP