文章圖片



文章圖片



文章圖片



如今 ， 網絡詐騙毫無疑問可以說是互聯網改變社會生活的一個負面產物 ， 并且也已經成為了各國執法機構嚴厲打擊的對象 。 但可能與許多朋友想象的不同 ， 不僅僅是對互聯網不熟悉的中老年人成為了網絡詐騙的重災區 ， 年輕人也同樣容易中招 ， 甚至于互聯網行業從業者本身也難以幸免 。



日前 ， #搜狐員工遭遇工資補助詐騙#就出現在了微博熱搜榜中 。 據了解 ， 搜狐公司的員工在5月18日收到了一封來自“搜狐財務部”、名為《5月份員工工資補助通知》的郵件 ， 有20余名員工按郵件中附件的要求掃碼 ， 并填寫了銀行賬號等信息 ， 但最終不但沒有等到所謂的補助 ， 卡中的余額也被劃走 。
【餌料|一封小小的電子郵件，怎么騙到了互聯網大廠員工】


據張朝陽在微博上透露的信息顯示 ， 此事是因為搜狐一位員工的內部郵箱密碼被盜 ， 使得盜賊冒充財務部發郵件給了員工 。 此事被發現后技術部門緊急進行了處理 ， 資金損失總額少于5萬元 ， 并且此事不涉及對公共服務的個人郵箱xyz@sohu. com 。 盡管說此次受害的搜狐員工損失不大 ， 但是影響卻顯然不小 ， 畢竟大家發現原來互聯網大廠在網絡詐騙上也不能“免俗” 。
那么騙子是如何騙走搜狐員工的錢呢？按搜狐員工們的說法 ， 是“因為郵件后綴是公司郵箱 ， 所以少了很多防備心理” ， 以及“平時報銷也會提供銀行卡號 ， 所以沒有特別在意” 。
其實 ， 這一次的詐騙是一套“OA釣魚”與詐騙的組合拳 ， 結合了社會工程學和網絡攻擊 。 所謂”OA釣魚“就是針的對企業OA系統 ， 攻擊者會在網絡上大規模采集不同企業或機構員工的郵箱地址 ， 然后針對弱口令、也就是密碼簡單的企業郵箱進行“網絡釣魚”或直接“撞庫” ， 并拿到企業OA用的內部郵箱 。



在有了內部郵箱賬號后 ， 攻擊者就相當于是打入了企業內部 。 然后就可以模仿企業常規的郵件寫一個正常的“補貼通知” ， 并直接群發給OA系統中的所有人 。 由于攻擊者使用了“補貼”這樣一個模糊的詞匯 ， 顯然也直接提升了一般人分辨的難度 。 再加上由于郵件是來自公司內部郵箱 ， 所以也會進一步降低受害者的防范心理 ， 讓受害者對于郵件的信任度提高 ， 最終點擊額外的附件 。
對于此事 ， 360集團董事長周鴻祎在社交平臺表示 ， “只要你打開看 ， 就會有惡意程序或代碼利用漏洞入駐 ， 然后對你發起進一步網絡攻擊” 。
沒錯 ， 在郵件中包含的附件才是此事真正的主體 。 盡管說 ， 這一份被偽裝起來的附件真正內容無從得知 ， 但不出意外的話 ， 要么是木馬程序、要么就是一個指向釣魚網站的鏈接 。 考慮到此事并非“放長線釣大魚” ， 所以用鏈接導向釣魚網站的可能性也極大 。



目前 ， 許多釣魚網站都被設計地極為擬真 ， 甚至于通過獲取請求流量中的特征、例如屏幕分辨率信息 ， 能夠來辨別受害者的手機是Android還是iOS ， 甚至如果檢測到訪問設備是電腦 ， 還會提示“請使用手機訪問” 。 同時要求填寫的信息會是寫姓名、身份證號、銀行卡號、手機號和驗證碼 ， 通常反而不會涉及密碼 。 這也是由于如今大多數機構會使用驗證碼這種隨機性極強的動態密鑰 ， 來代替傳統的密碼 。

• 餌料|《釣魚大對決》上線珍珠狂歡新活動，助力新手端午化身釣魚大神
• 餌料|郵件詐騙狙擊搜狐公司，企業內部網絡安全不保何以保護用戶安全？
• 草魚|釣魚怎樣才能知道水里有草魚？用這幾種餌料掛鉤，草魚連竿上
• 餌料|四人五一釣魚被抓，工作估計黃了，這種釣魚行為可判刑
• 餌料|想要魚餌效果好，必備3樣工具，讓魚喜歡吃你的魚餌
• 餌料|為啥你用玉米釣不到魚？避開這幾個誤區，大魚拉到手軟
• 餌料|漁樂雜談：夏季在淺塘垂釣時的注意事項
• 穿衣搭配|為何小小的縣城單位招人敢要求9成是研究生？
• 餌料|釣白條怎樣才能釣得多？用3款絕殺餌，明白5要點，連竿狂拉不斷
• 餌料|貴州一男子火了，釣魚時連人帶船被魚“釣”走，網友：侮辱性極強