搜狐多位员工遭遇诈骗!只因为一封“内部邮件”?

搜狐多位员工遭遇诈骗!只因为一封“内部邮件”?丨CCAC分享

内控与反舞弊研究 2022-09-28 12:00 发表于上海

以下文章来源于锐思商学院 ,作者锐思商学


微信图片_20220930092950.jpg



案例回顾

据消息称,搜狐全体员工在2022年5月18日早晨收到一封来自“搜狐财务部”名为《5月份员工工资补助通知》的邮件,不少员工按照附件要求扫码,并填写了银行账号等信息,最终不但没有等到所谓的补助,反而工资卡内的余额都被划走。


微信图片_20220930092957.jpg


事发后,公司IT及安全部门第一时间做了紧急处理,并向公安机关报案。随后,有搜狐员工在接受采访时坦言:“因为邮件后缀是公司邮箱,少了很多防备心理。”还有员工表示:“平时报销也会提供银行卡号,所以没有特别在意。”


5月25日,搜狐公司董事局主席兼CEO张朝阳终于对外回应此事,称“事情不像大家想象那么严重。搜狐一个员工的内部邮箱密码被盗,盗贼冒充财务部发信给员工,发现后技术部门紧急处理,资金损失总额少于5万元。不涉及对公共服务的个人邮箱”。


微信图片_20220930093001.jpg

作为一家老牌互联网公司,同时也是国内较早的邮件服务提供商,多名员工被自家邮箱的邮件诈骗数万元,这无异于是“阴沟里翻车”。不仅让员工蒙受财产损失,更是让大众对公司的信息安全技术能力产生了质疑。


案例分析

这是一起典型的网络邮件钓鱼攻击事件。搜狐公司由于一名员工的内部邮箱密码被盗,被不法分子利用,冒充公司财务部给员工发钓鱼邮件,骗取员工银行账户信息,划走卡内资金,进而获利。事实上,除了搜狐以外,美的、B站、东风汽车等多家企业此前也发生过类似情况。



究其原因,主要分为两方面:


一方面,主观上是由于公司员工网络安全意识淡薄,对网络钓鱼也缺乏必要的警惕性,导致员工邮箱密码被盗,以及盲目向冒充的“财务部”提供银行账户信息;


另一方面,客观上也反映出公司邮箱安全管理政策与防御技术仍有欠缺,导致员工邮箱被盗用,未能有效识别、拦截网络钓鱼攻击,造成部分员工遭受损失与企业声誉受损。


据此,建议企业采用多层次的方法,从以下方面优化相关政策和技术防御:




1制定相关安全政策,明确责任与行为规范,降低主观因素风险


第一,公司应制定信息资产的可接受使用政策。明确员工应如何使用公司的IT资源、计算机设施,包括桌面、便携式电脑、无线设施、电话和网络等,以及需要遵循的规则,列明对每个员工可接受和不可接受的行为,并详述违约后果,从而保证信息系统资源的安全规范使用。同时,规定员工每年都必须对相关政策进行阅读、签署和审查,以此让员工增加安全意识,降低邮箱密码被盗的可能,从而提升公司信息安全。



第二,公司应制定员工反网络钓鱼政策。该政策通常涵盖有关如何预防网络钓鱼、常见社会工程诈骗,以及应如何对待和处理可疑威胁的指导性意见规范,包括但不限于:用户不得安装未经授权的软件;在点击不明链接之前总是分析网址;永远不要回复可疑的电子邮件或文本,并及时报告任何看起来可疑的电子邮件或信息;超过特定额度的付款需求应与相关人员口头确认,以防止邮件攻击或欺诈。


第三,公司应开展相应培训宣传网络安全文化。公司在制定相关政策制度的基础上,开展必要的安全培训,并引入模拟网络钓鱼的培训方式,让员工形成“肌肉记忆”,使大家习惯于识别、拒绝和报告网络钓鱼事件。研究表明,在一定技术保障下,若有足够的模拟网络钓鱼培训可以将员工的被网络钓鱼倾向,降低60%以上。



2加强防御措施技术,多角度对抗网络钓鱼攻击,降低客观因素风险


第一,从邮箱登录身份认证角度,建议采用多因素身份验证加固账户安全降低员工邮箱因密码泄露而被盗用的可能。多因素认证则是将知道的(Something You Know)、拥有的(Something You Have)、固有的(Something You Are)信息进行组合,用于身份认证。比如,通过“知道的”专属密码、“拥有的”硬件令牌、“拥有的”短信、“固有的”面部特征等多种认证形式提供更全面的账号安全保障。如此即便不法分子、别有用心之人盗取了员工账号密码,也会因不能正确匹配“拥有的”、“固有的”信息而无法有效完成身份认证登录邮箱。



第二,从邮箱命名角度,建议避免采用过于简单、易于推测的邮箱名称。很多企业把财务部、行政部等关键部门的部门邮箱都用拼音或英文命名,如:Finance@***.com、caiwubu@***.com,等。这样无异于向不法分子“门户洞开”,使其省去了很多周折。除此之外,还有涉及到关键岗位的,如总经理、CEO、财务总监等,也不建议直接用名字的拼音来命名。因为很多大企业可以通过公开信息搜到这些岗位人员的姓名,如果直接用简单的名字拼音来命名邮箱地址,很容易被不法分子利用作为诱饵。因此,建议企业可以采用一些简称或者拼音+英文等组合方式来做一些特殊的命名,降低关键邮箱账号暴露的风险。


第三,从钓鱼邮件识别与拦截角度,建议使用全球网络钓鱼防护标准具体包括发件人策略框架(SPF) 、域密钥识别邮件(DKIM) 、报告和一致性(DMARC) 等,启用后能帮助收信人验证声称来自特定域的电子邮件的真实性,并按指定的策略进行处理,如直接投入垃圾箱或拒收,从而杜绝员工被钓鱼邮件欺诈的可能性。



启示


随着企业信息化程度的不断提高,在带来便利的同时也对企业的管理提出了更高的要求。特别是像搜狐作为一家互联网公司,这方面的风险管理更应该走在前面。因为他们所承载的不仅仅是自身的数据,更是广大用户的信息安全。因此,企业在不断优化信息技术的同时,更需要进一步提升自身的安全防御政策与措施,全面提升员工的信息安全意识。只有先“练好内功”,才能更好地“兼济天下”。




1.发件人策略框架(SPF)是一个电子邮件验证机制,使接收服务器能够检查每封声称来自某一特定域名的邮件是否来自该域名管理者指定的IP地址,并阻止其他所有未经授权的发送者。


2.域密钥识别邮件(DKIM)的基本工作原理同样是基于传统的密钥认证方式,签名时用私钥,验证签名时用公钥。发送者用私钥自动产生一段别人无法伪造的数字串作为数字签名,依附在邮件头中,发送到寄信者的服务器里。收信者用在域名解析服务器DNS上获取的公钥对数字签名进行验证,比对发送者的域名是否合法,如果不合法,则判定为垃圾邮件。


3.报告和一致性(DMARC)是一种基于现有的发件人策略框架(SPF)和域密钥识别邮件(DKIM)协议的可扩展电子邮件认证协议,其核心思想是邮件的发送方通过特定方式(DNS)公开表明自己会用到的发件服务器(SPF)、并对发出的邮件内容进行签名(DKIM),而邮件的接收方则检查收到的邮件是否来自发送方授权过的服务器并核对签名是否有效。对于未通过前述检查的邮件,接收方则按照发送方指定的策略进行处理,如直接投入垃圾箱或拒收。从而有效识别并拦截欺诈邮件和钓鱼邮件,保障用户个人信息安全。


(源:锐思商学院;案例源:潇湘晨报)