搜狐不是唯一，6000多域名被用於“釣魚郵件”詐騙

作者：郝俊慧 來源：IT時報

誰都沒想到，一種最古老的攻擊方式，竟然成功襲擊了著名的網際網路公司。近日，搜狐員工被釣魚郵件詐騙的事件衝上熱搜，儘管搜狐董事會主席張朝陽發博稱損失影響不大，但這畢竟是件令人詫異的事。然而，事實上，這只是郵件釣魚威脅的冰山一角。

根據奇安信威脅情報中心的持續跟蹤，推測該釣魚活動可能於2021年12月底左右開始，至今約有6000個域名被用於攻擊。目前該釣魚活動還在持續進行中，攻擊者仍在不斷更新升級系統，更新基礎設施。

（Photo by Luca Bravo on Unsplash）

國內更多企業被攻擊。據《IT時報》記者瞭解，最近多家上海企業都發出警惕“詐騙郵件”的警告，包括國企和網際網路公司。

專家詳解詐騙流程

釣魚郵件攻擊，自有電子郵箱出現以來便開始存在，稱得上是“古早級別”的攻擊手段，然而，儘管這種攻擊模式最簡單，卻也最有效、最具迷惑性。

“這種騙術已經存在好長時間了，但最近比較集中地出現，估計國內受害者相當多。”騰訊安全專家李鐵軍告訴記者，搜狐事件一發酵，騰訊安全團隊便想起數星期前其他公司也發生過類似的事件，手法完全一樣。

通常情況下，詐騙團隊會先想方設法拿到某一個內部員工的ID，然後再冒用其身份給同事發郵件，並給出一個二維碼，員工掃碼登入後，便會開啟一個“釣魚”網頁。詐騙分子十分狡猾，手機上顯示的網頁大部分時候是看不到網址的，因此受害人很難發現已經不是自己公司官網地址，隨後根據提示輸入銀行卡號、身份證號、手機號等關鍵資訊。

此時，“釣魚”網頁背後的“黑客”已經拿到了這個人的身份證號、手機號、銀行卡號，而攻擊者則會在另外一個地方消費，並輸入受害者的手機號碼，將驗證碼會發送至手機上。一旦受害者不注意，直接將驗證碼提交填寫，那交易便成功了。

儘管手法很簡單，但由於詐騙郵件是以公司為字尾的郵箱發出，從一開始便騙過了受騙員工，因此迷惑性非常高。據奇安信聯合Coremail釋出的《2020中國企業郵箱安全性研究報告》顯示，2020年，全國企業郵箱使用者共收到各類釣魚郵件約460.9億封，同比增長達33.9%。與釣魚郵件數量同時增長的還包括帶毒郵件（即郵件附件含有病毒等惡意軟體），資料顯示，2020年，全國企業級使用者共收到約492.1億封帶毒郵件，同比增長了16.0%。

零信任確保實時安全

針對近期猖獗的郵件威脅，不同安全廠商都提出了相應的解決方案。奇安信提出，政企機構應部署郵件安全系統，具備對惡意釣魚郵件實時檢測和告警的能力，及時捕獲惡意釣魚行為，攔截郵件系統中的病毒郵件，可有效避免或減少損失。騰訊安全則認為，有條件的政府企業應該部署零信任機制，或也可將其稱之為多重驗證身份驗證的機制。

據瞭解，奇安信網神郵件威脅檢測系統可以基於郵件行為檢測模型、機器學習模型，精準發現各種型別的釣魚連結，諸如福利補貼、調查表填寫、系統升級、銀行通知、賬戶驗證等等；其次，可以對郵件的連結地址進行靜態判定，並對郵件附件進行動態沙箱檢測判定，高效識別郵件的惡意連結、惡意附件。其中值得一提的是，機器學習引擎基於雲端資料可進行自主訓練，通過自適應學習引擎、綜合檢測引擎及URL增強判定引擎進行綜合檢測，在不同的企業環境下自適應學習並準確高效地檢出釣魚URL。

李鐵軍則更強調“零信任機制”，所謂“零信任”，是指系統對使用者處於“時時不信任狀態”，即便攻擊者拿到了受害者的使用者名稱和密碼，但在零信任機制的保護下，攻擊者登入時也很容易被系統識別出漏洞，比如登陸地、登陸裝置與以往不同，此時，系統會要求登入者提供更多的驗證手段，比如動態口令、令牌、動態密碼、手機密碼等等，增加登入門檻。此外，即使登入成功，當攻擊者訪問一些關鍵系統時，同樣可能被要求二次驗證，門檻會再次提高。也就是說，通過持續驗證、動態授權的方式，確保系統對登入者的安全性時時保持警惕。

“最重要的，當然還是要加強員工的安全教育與培訓。企業要針對性地幫助員工提升安全意識，進行各類實戰攻防演習等安全活動，降低由於員工缺乏意識或無意之間的意識弱化導致的安全風險。”奇安信行業安全研究中心主任裴智勇表示。