圖：李逸君

來源：21tech

作者：白楊

編輯：張偉賢

近日，多傢企業員工收到瞭一封內容為“工資補貼發放”的郵件，由於發件人的郵箱是企業官方域名，部分員工便信以為真，最終，不少人成為瞭“釣魚”郵件的受害者。

搜狐是受害企業之一。5月25日，搜狐公司發佈聲明稱，5月18日凌晨，部分員工郵箱收到詐騙郵件。經調查，實為某員工使用郵件時被意外釣魚導致密碼泄露，進而被冒充財務部盜發郵件。據統計，共有24名搜狐員工被騙取四萬餘元人民幣。

搜狐公司創始人張朝陽針對此事表示，“事情不像大傢想象那麼嚴重”。確實，因為這次事件沒有涉及到搜狐公司對外部用戶提供的郵件服務，資產損失也被控制在4萬多元，從網絡安全事件的角度，這是一個相對低代價的結果。

但是，這件事的發生也給更多企業敲響瞭安全警鐘。針對此事，21世紀經濟報道記者采訪瞭多位網絡安全領域專傢，他們向記者分析瞭“釣魚”郵件的攻擊手段以及該如何預防此類安全事件的發生。

“釣魚”郵件如何騙錢？

據騰訊安全高級安全專傢李鐵軍介紹，攻擊者進行“釣魚”郵件攻擊，通常是先獲得某個內部員工的ID，然後再冒用這個員工的身份給同事發郵件。

而且，為瞭以假亂真，這個郵件的文檔內容一定是針對該公司精心定制的，比如在文本格式上會十分“正式”，包括公司抬頭、公文描述等等，然後，文檔中會帶有一個二維碼，隻要員工掃描該碼，便會進入到“釣魚”網頁。

“釣魚”網頁的內容也同樣狡猾，手機端通常看不到完整的網址，受害者也很難意識到這是個釣魚網站，然後就會按照文字提示提交自己的姓名、身份證號、銀行卡號、手機號、卡內餘額等隱私信息。

與此同時，“釣魚”攻擊者也拿到瞭上述信息，並會在另外一個地方進行消費，最後一步就是從受害者處取得消費所需要的手機驗證碼。在這個環節，李鐵軍告訴記者，其實短信會提示用戶驗證碼是用於做什麼，但很多人都不仔細看短信內容就直接填寫驗證碼，這也最終導致財產的損失。

整個過程中，“釣魚”攻擊能夠成功實施的前提是，攻擊者獲取瞭企業內部員工的郵箱賬號和密碼。對於受害者而言，若收到的“釣魚”郵件來自內部郵箱，其防備意識也會大大降低。

奇安信行業安全研究中心主任裴智勇告訴記者，現在，郵件攻擊已經成為針對企業最簡單，但也最有效、最具迷惑性的攻擊方法，每年被盜的各類郵箱賬號數以百萬計，成功實施攻擊的事件也是經常發生。

此外，裴智勇稱，電子郵件是最早的網絡通信方式，設計之初並沒有任何安全考慮，所以普通的電子郵件基本都是明文傳輸，而且沒有加密校驗的。

比如郵件發出之後在傳輸過程中，不論被誰截獲，都能讀取和修改原文，而且如果郵件被人中途截獲、修改，郵件的接收者是無法校驗郵件是否被修改過的。所以有些軟件可以把發出郵件的正文截下來，修改之後再發出去。因此，攻擊者一旦進入，整個郵件系統也面臨安全風險。

目前，企業內部郵箱系統最關鍵的防線就是員工的郵箱賬號和密碼，但可惜的是，這道防線十分脆弱。

多位安全專傢均表示，如果一個系統僅通過賬號和密碼就能登陸，那它的安全風險是極大的。因為在目前的網絡環境下，任何人的賬號密碼都有泄露的風險，尤其是很多人喜歡相同的賬號和密碼，這也大大增加瞭信息被竊取的概率。

系統需要“不相信任何人”

當員工的賬號和密碼被攻擊者獲取，這也就成為瞭企業的安全漏洞。如上文所說，如果攻擊者隻是通過“釣魚”郵件騙取瞭其他員工的一些財產，這可能是損失最小的結果。不然，攻擊者若投放類似勒索病毒的惡意軟件，或者是竊取公司機密，那對企業的損失將會更大。

而且，據李鐵軍介紹，“釣魚”攻擊的追蹤溯源也是一項極其困難的事情，一方面是成本耗不起，另一方面是溯源需要的安全數據不歸企業掌握。此外，即便是溯源成功，有些攻擊者是冒用他人身份，或者身處海外，這都為維權工作帶來瞭阻礙。

因此，面對“釣魚”攻擊，需要以預防為主。但究竟如何防止因員工的信息泄露而造成公司的安全風險？從郵箱系統的角度，裴智勇建議，企業郵箱系統應開啟強制弱口令檢測，強制定期改密碼，以最大限度減輕郵箱盜號風險。

除此之外，很多大型互聯網公司的做法則是拋棄對密碼的依賴，采取一種零信任的安全架構，對賬號的每次登陸都進行多重驗證。

所謂“零信任”，它的核心思想就是不相信任何人。現有傳統的訪問驗證模型隻需知道IP地址或者主機信息等即可，但在“零信任”模型中，需要更加明確的信息才可以。

網宿科技副總裁呂士表告訴記者，傳統的安全架構，隻要用戶登陸郵箱成功之後，便不會再對用戶做其它的合規性檢查，對用戶的授權也是一直保持不變的。“這種一次認證，永久授權的機制，很容易發生郵箱賬號盜用、從而入侵內網盜竊數據的安全事件”。

“而在零信任架構下，會對用戶每一次登陸進行多因子認證，包括用戶的郵箱賬號密碼、短信驗證、所綁定的硬件設備、基於時間地理等，使原來的身份驗證更加安全，這也就避免瞭失竊的風險。”呂士表說。

在李鐵軍看來，每個企業其實都會有一定的安全防禦舉措，但“釣魚”攻擊之所以被廣泛應用，是因為它是針對人性的漏洞去攻擊，這也是傳統的安全防護無法應對的。而零信任安全，可以大大降低人為的風險因素。

當然，任何安全防護都無法保證絕對的安全，零信任安全亦如此。所以在建設相對完整的安全系統的同時，網絡安全專傢們認為，企業也需要定期對員工進行安全意識培訓，以及組織一些安全攻防演練。

編輯：盧陶然