写在前面
今天一早,大部分人还没到办公室,就看到好几个飞书群里在发钓鱼邮件的提醒,紧接着公司信息安全部门又发了一条全员提醒。即便如此,看到一张截图圈出来的内容,“已经有一个同事输入了卡号和密码,卡里的钱都没转走了……”,这听起来确实挺离谱。我也去查了一下邮件,两封关于高温补贴的发放通知,邮件里面有一个登记的二维码,发件人还是真实公司员工(账号被黑),除了落款人力资源部(宣发),其他看着确实没什么毛病。
钓鱼邮件的进化
企业邮箱收到各种垃圾邮件、钓鱼邮件实属正常现象,因为总会有伪装很好的钓鱼邮件能够逃脱信息安全软件的猎杀,当然人多了总有那么几个成为上钩的“鱼”。以前的钓鱼邮件可能就是光撒网,邮件中嵌入木马病毒等黑客手段,但随着企业及个人电脑安全杀毒软件的不断升级,这类对黑客技术水平要求较高的钓鱼软件反而逐渐淡出。
与之相对应的,另一类可能就跟今早发生这起一样,钓鱼黑客通过黑入一名员工的邮箱,全员发送伪造的诱导邮件,进而达到财务钓鱼的目的。黑客的钓鱼越来越接近企业内部真实的工作场景,从而大大增加了员工上钩的风险,虽然公司定期也会做类似的攻防演练,以提升员工反钓鱼的意识。但有些场景过于真实,让有些人还是很难一眼就识别出来,就像前一段时间,信息安全演练,又是以HR部门的名义发送伪钓鱼攻防邮件,收到的员工还真有前来咨询的,为了避免不良影响,以HR名义进行演练的场景被领导喝止了。
钓鱼邮件的逻辑
正常收到一封邮件,我们会先看到发件主题,然后是查看发件人,然后就是对邮件内容的查阅,一般能到内容查看,说明这封邮件的伪装已经很成功,只等有鱼上钩。如下我们将早上的钓鱼邮件看看是否能拆到钓鱼邮件惯用的钓鱼逻辑里:
目标选择:黑客可能会针对特定行业或企业进行研究,选择具有高价值信息的公司作为目标,挑选大企业能够更多的潜在获利收益;
伪装身份:发件人可能会伪装成企业内部的高级管理人员、合作伙伴、供应商或其他可信的第三方,今天早上的发件人直接就是内部员工的邮箱,如果部门也对上后果可能更严重;
专业内容:邮件内容会使用专业术语和行业相关的信息,以增加邮件的可信度,早上用的是高温津贴发放,跟最近的高温天气也很贴合;
紧急性:邮件可能会强调紧急性,要求员工立即行动,例如处理发票、合同审批等,高温津贴申请也有时效性;
诱导操作:邮件中可能包含链接或附件,诱导员工点击或下载,这些链接可能指向伪造的登录页面或含有恶意软件的文件,早上的邮件有个二维码,其实我跟同事说:自己很好奇用英文版系统扫码出来是什么,担心海外员工会跟我有一样的想法,虽然最后直接删了邮件;
信息收集:通过伪造的登录页面,攻击者可以收集员工的登录凭证、财务信息或其他敏感数据;
内部传播:一旦攻击者获得了一个员工的凭证,他们可能会尝试进一步渗透企业网络,获取更多信息或传播恶意软件;
财务诈骗:攻击者可能会利用收集到的信息进行财务诈骗,如伪造发票、改变支付细节等,今天的不涉及,之前公司确实遇到过,客户将设备款达到了黑客提供的假账号上,小几百万美金就这样漂了。
除了企业里常发生的钓鱼事件,个人邮件或者其他社交渠道也会收到类似的行骗套路,到底被钓鱼是谁的问题,也成另一个值得思考的问题。因为在企业中,被钓鱼,信息安全部门总归会被吐槽,可能被冒名顶替发邮件的部门,或员工企业内的信用也会留下污点。
被钓鱼的人肯定是有问题,说出多数人都会认为黑客就是为了钓这种“蠢人”而来的,可能一时的疏忽,或者信息不对称变成了别人鱼篓里的鱼。信息化社会了,提高个人的网络安全意识,加强防范措施,在发生钓鱼攻击时采取适当的应对措施是再怎么都不为过的。擦亮自己的双眼,不让蝇头小利的诱惑蒙蔽了双眼,掉进黑客的陷阱。
《从一封钓鱼邮件开始》
Wednesday 07/08/2024
简 书 2024/022
网友评论