搜狐破防：“钓鱼”何以得逞

21世纪经济报道记者白杨 北京报道

近日，钓鱼多家企业员工收到了一封内容为“工资补贴发放”的搜狐邮件，由于发件人的破防邮箱是企业官方域名，部分员工便信以为真，钓鱼最终，搜狐不少人成为了“钓鱼”邮件的破防受害者。

是钓鱼受害企业之一。5月25日，搜狐搜狐公司发布声明称，破防5月18日凌晨，钓鱼部分员工邮箱收到诈骗邮件。搜狐经调查，破防实为某员工使用邮件时被意外钓鱼导致密码泄露，钓鱼进而被冒充财务部盗发邮件。搜狐据统计，破防共有24名搜狐员工被骗取四万余元人民币。

搜狐公司创始人张朝阳针对此事表示，“事情不像大家想象那么严重”。确实，因为这次事件没有涉及到搜狐公司对外部用户提供的邮件服务，资产损失也被控制在4万多元，从网络安全事件的角度，这是一个相对低代价的结果。

但是，这件事的发生也给更多企业敲响了安全警钟。针对此事，21世纪经济报道记者采访了多位网络安全领域专家，他们向记者分析了“钓鱼”邮件的攻击手段以及该如何预防此类安全事件的发生。

“钓鱼”邮件如何骗钱？

据安全高级安全专家李铁军介绍，攻击者进行“钓鱼”邮件攻击，通常是先获得某个内部员工的ID，然后再冒用这个员工的身份给同事发邮件。

而且，为了以假乱真，这个邮件的文档内容一定是针对该公司精心定制的，比如在文本格式上会十分“正式”，包括公司抬头、公文描述等等，然后，文档中会带有一个二维码，只要员工扫描该码，便会进入到“钓鱼”网页。

“钓鱼”网页的内容也同样狡猾，手机端通常看不到完整的网址，受害者也很难意识到这是个钓鱼网站，然后就会按照文字提示提交自己的姓名、身份证号、银行卡号、手机号、卡内余额等隐私信息。

与此同时，“钓鱼”攻击者也拿到了上述信息，并会在另外一个地方进行消费，最后一步就是从受害者处取得消费所需要的手机验证码。在这个环节，李铁军告诉记者，其实短信会提示用户验证码是用于做什么，但很多人都不仔细看短信内容就直接填写验证码，这也最终导致财产的损失。

整个过程中，“钓鱼”攻击能够成功实施的前提是，攻击者获取了企业内部员工的邮箱账号和密码。对于受害者而言，若收到的“钓鱼”邮件来自内部邮箱，其防备意识也会大大降低。

奇安信行业安全研究中心主任裴智勇告诉记者，现在，邮件攻击已经成为针对企业最简单，但也最有效、最具迷惑性的攻击方法，每年被盗的各类邮箱账号数以百万计，成功实施攻击的事件也是经常发生。

此外，裴智勇称，电子邮件是最早的网络通信方式，设计之初并没有任何安全考虑，所以普通的电子邮件基本都是明文传输，而且没有加密校验的。

比如邮件发出之后在传输过程中，不论被谁截获，都能读取和修改原文，而且如果邮件被人中途截获、修改，邮件的接收者是无法校验邮件是否被修改过的。所以有些软件可以把发出邮件的正文截下来，修改之后再发出去。因此，攻击者一旦进入，整个邮件系统也面临安全风险。

目前，企业内部邮箱系统最关键的防线就是员工的邮箱账号和密码，但可惜的是，这道防线十分脆弱。

多位安全专家均表示，如果一个系统仅通过账号和密码就能登陆，那它的安全风险是极大的。因为在目前的网络环境下，任何人的账号密码都有泄露的风险，尤其是很多人喜欢相同的账号和密码，这也大大增加了信息被窃取的概率。

系统需要“不相信任何人”

当员工的账号和密码被攻击者获取，这也就成为了企业的安全漏洞。如上文所说，如果攻击者只是通过“钓鱼”邮件骗取了其他员工的一些财产，这可能是损失最小的结果。不然，攻击者若投放类似勒索病毒的恶意软件，或者是窃取公司机密，那对企业的损失将会更大。

而且，据李铁军介绍，“钓鱼”攻击的追踪溯源也是一项极其困难的事情，一方面是成本耗不起，另一方面是溯源需要的安全数据不归企业掌握。此外，即便是溯源成功，有些攻击者是冒用他人身份，或者身处海外，这都为维权工作带来了阻碍。 

因此，面对“钓鱼”攻击，需要以预防为主。但究竟如何防止因员工的信息泄露而造成公司的安全风险？从邮箱系统的角度，裴智勇建议，企业邮箱系统应开启强制弱口令检测，强制定期改密码，以最大限度减轻邮箱盗号风险。

除此之外，很多大型互联网公司的做法则是抛弃对密码的依赖，采取一种零信任的安全架构，对账号的每次登陆都进行多重验证。

所谓“零信任”，它的核心思想就是不相信任何人。现有传统的访问验证模型只需知道IP地址或者主机信息等即可，但在“零信任”模型中，需要更加明确的信息才可以。

网宿科技副总裁吕士表告诉记者，传统的安全架构，只要用户登陆邮箱成功之后，便不会再对用户做其它的合规性检查，对用户的授权也是一直保持不变的。“这种一次认证，永久授权的机制，很容易发生邮箱账号盗用、从而入侵内网盗窃数据的安全事件”。

“而在零信任架构下，会对用户每一次登陆进行多因子认证，包括用户的邮箱账号密码、短信验证、所绑定的硬件设备、基于时间地理等，使原来的身份验证更加安全，这也就避免了失窃的风险。”吕士表说。

在李铁军看来，每个企业其实都会有一定的安全防御举措，但“钓鱼”攻击之所以被广泛应用，是因为它是针对人性的漏洞去攻击，这也是传统的安全防护无法应对的。而零信任安全，可以大大降低人为的风险因素。

当然，任何安全防护都无法保证绝对的安全，零信任安全亦如此。所以在建设相对完整的安全系统的同时，网络安全专家们认为，企业也需要定期对员工进行安全意识培训，以及组织一些安全攻防演练。

（作者：白杨 编辑：张伟贤）

(责任编辑：综合)