小盾安全技术专家鲍一骏：如何防范邮件诈骗

经济观察网 记者 胡群“事情不像大家想象那么严重”。5月25日上午，搜狐董事局主席兼CEO张朝阳在微博上表示，一名搜狐员工内部邮箱密码被盗，盗贼冒充财务部发信给员工，而技术部门在发现之后也进行了紧急处理，造成的资金损失总额少于5万元。此次事件不涉及对公共服务的个人邮箱。

事件起因是搜狐员工在5月18日早晨收到一封来自“搜狐财务部”名为《5月份员工工资补助通知》的邮件，部分员工按照附件要求扫码，并填写了银行账号等信息。意外的是，他们并没有收到所谓的补助，反而工资卡内的余额被转走。

近年，随着通讯、网络技术的快速发展与应用，网络诈骗案件频发，犯罪手段与技术不断迭代升级，新型骗术层出不穷。诈骗分子如何通过邮件进行诈骗并将银行卡内资金转走的？如何防范类似骗局？为此，经济观察网采访同盾科技旗下全栈式业务安全解决方案服务商——小盾安全技术专家鲍一骏。

经济观察网： 网络诈骗分子 如何实现使用公司 内部 邮箱域名发送邮件？员工的邮件地址又是如何被获取的？

鲍一骏 ： 实现用公司域名发送有两种常规手段：

一、攻击者通过社会工程学破解获取公司内部邮箱，例如：攻击者掌握相关企业邮箱系统的管理缺陷或安全漏洞，安插“病毒”获取数据；部分废弃公共邮箱未及时回收，被不法分子利用（已离职员工或者员工邮箱账号密码泄露）；邮箱管理员账号泄露（被钓鱼或其他情况）；或者公司内部员工与外部攻击者勾结（利益分成）。

二、攻击者伪造公司域名，通过技术手段，将发件人的域名包装得与内部域名一样或相似。

经济观察网：诈骗分子要获取员工邮件地址一般有几种途径？

鲍一骏 ： 攻击者一般有三种方式可以获取员工邮件地址：根据公司对外留下的邮箱格式进行枚举猜测；离职人员或内部员工泄露；以及攻击者成功攻击邮箱系统后台后获取。

经济观察网：这种诈骗是如何实现的？ 被骗者 填写银行账号、身份证号码等信息后，不法分子进行哪些操作 可以 将钱转走？

鲍一骏 ： 攻击者通过钓鱼邮件以公司财务部门名义向员工发送“假通知”后，诱导其打开相应链接或者下载运行邮件附件，并在页面中填写个人身份和银行卡等敏感信息。正常来说银行卡、身份证、手机号泄露不一定会造成资金损失，但此类案件中，被钓鱼的员工在下载附件填写信息或者点击邮件里的超链后，攻击者会借用已钓鱼到的信息做二次动态验证（比如核实补贴发送的银行卡预留手机号验证等）。被钓鱼者在完成验证码互动过程中，攻击者已经快速在其他平台进行了绑卡操作，完成全部绑卡流程，从而在其控制的三方平台或者渠道进行支付，支付方式呈现多样化，如代扣、代付、额度授信、银行卡支付等，将被钓鱼者的资金转走。

此外，攻击者也可以根据员工填写的信息和密码，直接登录一些用户已经绑定完成的平台进行小额消费，比如某一些购物平台，这样就可以绕开需要绑定银行卡的验证码交互。

经济观察网：企业邮箱的安全性如何保证？员工应注意什么？

鲍一骏 ： 针对企业邮箱安全性保障，我们建议从两个方向出发：一是邮箱服务端的安全性保障，如企业增加服务端的邮件网关等安全防护，加强邮箱安全策略的实施；二是邮箱客户端的安全性保障，如增加邮箱多因素认证，专有密码的使用落实。公司内部也可以多举办安全培训与钓鱼演戏等活动，提高大家安全意识。

针对员工，我们建议：要严格按管理员要求，强化自己邮箱密码，尽量采用多因素认证，以及强密码策略。另外，当下攻击手段多种多样，针对有诱惑性内容的邮件，一定要多个心眼，可以通过仔细核对发件人地址，及时与发件人核实等方式二次确认，并警惕不明邮件的链接或附件，以免落入诈骗圈套。

请大家格外注意，任何到账类交易，绝不会要求收款方提供银行的短信验证码，一旦对方索要短信验证码，基本可以认定为诈骗。