5月25日、捜狐の全従業員が賃金補助詐欺に遭い、微博熱の第一位になった。
ネット上に流出したチャット記録によると、捜狐の全従業員は5月18日朝、「捜狐財務部」から「5月従業員給与補助通知」というメールを受け取った。チャットの記録によると、多くの従業員がだまされ、給与カードの残高が引き落とされたという。澎湃たる新聞記者が複数の捜狐内部の従業員に確認したところ、確かに上記の詐欺メールが届いた。
この日、捜狐は公式マイクロブログを通じて、ある従業員がメールを使用していたところ、意外な釣りによってパスワードが流出し、財務省になりすましてメールを盗み出されたと答えた。事件後、会社のITと安全部門は最初に緊急処理を行い、公安機関に通報した。統計によると、24人の従業員が4万元以上の人民元をだまし取られた。
澎湃新聞記者が複数の業界専門家を取材したところ、類似の「給与手当」メールはよく見られるフィッシング詐欺で、操作に技術的な難しさはほとんどないことが分かった。また、電子商取引プラットフォームでもこのようなサービスを簡単に購入でき、他人の情報を盗用して虚偽のメールを送信することができ、すでに隠れた黒灰産業チェーンとなっている。
同時に、記者の不完全な統計によると、今年に入ってから、国の各地の関係部門はすでに「補助金詐欺」を警戒して何度も公告を出して、数は50本を超えた。
なぜ大工場はしばしば「インターネット詐欺」に遭うのか?専門家:技術には敷居がなく、防犯には難しい
5月25日昼、捜狐CEOの張朝陽氏は最初に微博で「従業員が詐欺に遭った」事件に対応した。
彼は、背後には捜狐のある従業員の内部メールボックスのパスワードが盗まれ、盗賊が財務省になりすまして従業員に送信したことが原因だと述べた。会社が発見した後、技術部門は緊急に処理し、資金損失総額は5万元未満だった。また、今回詐欺メールを送信したのは、公共サービスに対する個人メールには触れません。
澎湃たる新聞記者は、「給与手当」を始めとする詐欺メールが企業内では珍しくないことを発見した。今年2月、B駅にも「詐欺メール」のスクリーンショットが流れた。関係者は記者に、このメールはグループ送信形式で全従業員に伝播し、複数の従業員がだまされ、合計数万元のだまされたことを明らかにした。ネット上のスクリーンショットによりますと、 Dongfeng Automobile Co.Ltd(600006) 、美的、マンゴーメディアなどの会社が次々と「銃に撃たれた」ということで、偽の会社公式のフィッシング詐欺メールを受け取ったという従業員がいるということです。
ネット上で詐欺メールのスクリーンショットを受信しました。
ネット上のマンゴーメディアの内部スクリーンショット
ネット配信 Midea Group Co.Ltd(000333) 内部メールのスクリーンショット
「典型的なOAフィッシング攻撃事件の可能性が高い」 Qi An Xin Technology Group Inc(688561) 業界安全研究センターの鞖智勇主任は記者に語った。
彼によると、通常の攻撃の流れは以下のようになっている。攻撃者はまず社内のメールボックスを盗んだり悪意を持って登録したりした後、このメールボックスで他の従業員にメールを送り、フィッシングサイト(模倣した会社のメール登録ページ)にアカウントとパスワードを入力するよう誘導し、メールボックスのパスワードをだまし取る。「攻撃者が内部メールアカウントを盗む過程も、別のフィッシングメールで完成した可能性が高い」。
「電子メール自体は攻撃コストが低いが、難しいインターネットサービスを保護することです」。ペ・ジヨンは言った。「 内部従業員のメールアドレスを知るだけで、企業の内部システムを理解する必要なく、いずれかのメールボックスを通じてフィッシングや毒メールを被害者に送信できます。 」
「捜狐が出会った詐欺メールの背後には技術的な難しさはありません」。ネットトップナイフセキュリティチームの創始者である曲子龍氏は、澎湃たる新聞記者に告白した。「会社に対して類似の攻撃を実現するのは非常に容易で、数百種類の方法が考えられる」。
多くのネットユーザーが擬問に思っているのは、捜狐がメールサービスを提供する専門企業として、なぜ「釣り」メールを一斉に送信する詐欺事件にも遭遇したのかということだ。
曲子龍から見れば、似たようなリスクは徹底的に根絶しなければならず、難易度は極めて高い。「まず、社内の重視度の問題です。会社が十分に重視すれば、内部メールボックスにフィルタリング命令を追加して、風製御能力を高めることができますが、従業員個人の情報がフィッシングサイトに取得されるのを防ぐのも難しい」。
曲子龍氏は、社内の仕事の交流が非常に緊密なため、ある従業員がフィッシングサイトを通じて何気なく情報を漏らしたら、会社全体の情報がハッカーの目にさらされることを意味すると述べた。メールボックスを使わずに伝播しても、携帯電話や微信などの形式で伝播する可能性があり、徹底的な防止は極めて難しい。「会社がコンピュータ監視を実施しない限り、従業員が会社のコンピュータを使用して閲覧している各サイトのアドレスをチェックしますが、これはプライバシーの問題にも関連しています」。
技術的な手段でフィッシングメールを識別できますか?ペ・ジヨン氏によると、現在採用されている主な識別方法は、メールアドレスが悪意であるかどうかを識別し、文に敏感な語彙が存在するかどうかを分析し、メール中のウェブサイトがフィッシングサイトであるかどうかを判断することだという。攻撃者がすでにある内部従業員のメールボックスを盗み、新しいフィッシングサイトを使用している場合は、単にメール識別システムに依存しており、フィッシングメールを識別するのは難しい。
彼は、外来の群発メールであれば、受信者の数で迷惑メールかどうかを判断し、ブロックすることができると告白した。しかし、内部メールボックスから一斉に送信されたメールでは、発見が難しいことがよくあります。攻撃者が1人または複数の受信者に送信するだけでは、通常の手段では発見できません。
800元で任意にメール送信者を変更できます
「フィッシングメール」が存在して久しいが、新しい詐欺形式ではない。従業員がだまされるのはフィッシングサイトを通じてですが、信頼を得る鍵はメールボックスの接尾辞名が会社から来ていることです。これはどうやってできますか?
記者によると、メールボックスを交換する効菓を実現する方法はたくさんあり、その中でよく使われているのはメールエージェントを使用することだという。ペ・ジヨン氏によると、メールエージェントとは、ソフトウェアがメールを切り抜いてある製御されたメールボックスに送信し、製御されたメールボックスがメール本文を切り抜いた後、メールを予定されていた受信者に転送することを指す。このように、受信者が見た送信者は、元のメールボックスではなく、代理メールボックスや中継メールボックスから送信されたメールであり、元の送信メールボックスを非表示にします。
「送信プロトコルを偽造したり、送信情報を変更したりすることで、メールアドレスを簡単に変更でき、いずれかのアドレスからメールを送信することができます。」曲子龍が表しています。 背後にある原理については、類比的に宅配便を送ることができ、現在、中国のほとんどのメールシステムは送信者の偽造攻撃を正確に識別できない。 「送り状を記入するとき、一般の宅配業者は受取情報に注目しており、送り手情報を十分にチェックすることはありません。これは送り手情報に十分な偽造空間があることを意味します」。
類似のメール代理サービスは、電子商取引プラットフォーム上に隠れた黒灰産業チェーンを形成している。澎湃新聞記者が「メール送信者を修正する」「仮想メールボックス」「住所を変更する」などのキーワードで各電子商取引プラットフォームを検索したところ、メール送信先を偽造するサービスが簡単に購入できることが分かった。ある商店は記者に、住所、時間、名前を変更することができ、価格は約800元/通で、添付ファイルを追加すると、200元のサービス料が必要だと明らかにした。
ある電子商取引プラットフォームでメールの送信先を変更する業者は簡単に検索できます。
「800元、こんなに高いの?」記者が尋ねると、業者は「他の人のメールで送って、自分で考えてみて、800は高いですか」と答えた。
もう一人の業界関係者は、対応するサーバを購入するだけで、任意のメールアドレスで電子メールを送信できることを記者に示した。ページには、「このツールを使用して法律法規違反のメールを送信する場合は、このサイトとは関係ありません」という特別なコメントがあります。
企業はどのように防ぎますか?「ゼロ信頼」方式を採用でき、一定のコストが必要です
脆弱性が頻発するメールシステムは、防犯手段をとることができないのだろうか。業界の専門家が一般的に提案しているのは、すべてのアカウントのログインと使用に対して、継続的な監視と動的な許可を行うことができる「ゼロ信頼」方法を使用することです。
「ゼロ信頼」システムとは?テンセントセキュリティ専門家の李鉄軍氏は、その名の通り、「信頼ゼロ」の鍵は「信頼」を打破し、企業ネットワーク内外の誰でも、設備やシステムをデフォルトで信頼しないことにあり、身分認証と許可に基づいてアクセス製御を再構築することにあると澎湃新聞記者に伝えた。
「ゼロ信頼」システムは、最初にどのアカウントのアクティビティが異常で、どのアカウントが盗まれたか、または「内鬼」アカウントになっているかを識別し、これらのアカウントを禁止することができます。例えば、ある従業員のメールボックスはオフィスネットワークにログインしたばかりなのに、突然地方のどこかにログインし、すぐに他の従業員に大量のメールを送信し、盗まれたリスクのあるアカウントである可能性が高い。
「ゼロ信頼メカニズムの保護の下で、攻撃者はユーザー名とパスワードだけで社内ネットワークにログインできないことに気づきます。」李鉄軍氏によると、システムは上陸者に異常があることを検証し、さらに動的パスワードを通じて身元を検証する必要があるという。もし相手が本当に会社のシステム内部に侵入したら、重要な情報にアクセスするには、ゼロ信頼システムが提供する検証要求が高くなり、リスクを効菓的に防ぐことができます。
しかし、ゼロ信頼システムは万能ではなく、「漏れた魚」も存在し、企業がより多くの技術案を提供する必要があると述べた。「例えば、バックグラウンドでネットワークの状況を絶えずチェックし、各ホストのネットワークに異常なアクセスがあるかどうか、企業のゲートウェイロケーションでは、あるホストがリスクのあるWebアドレスにアクセスしているかどうかをチェックします。これらは実際にはアラート情報です」特筆すべきは、ゼロ信頼システムにも一定の企業コストが必要です。
近年、類似の「インターネット詐欺」が頻発しているため、多くの企業がネットワークセキュリティへの重視度を高めている。テンセントを例に、関係責任者は澎湃新聞記者に、テンセントは資源へのアクセスに常用アドレス、設備、応用タイプなどの条件の製約を加えると伝えた。応答手段では、テンセントは最初から直接実行と直接拒否の2種類しかなく、現在もメール通知、企業の微信通知、いくつかの重要なリソースにアクセスする際に多要素身分認証などを厳格に行うことができます。
京東はグループレベルの安全と風製御委員会を設立し、安全とリスク問題について統一管理を行った。メールの送受信シーンに対して、京東は2つの要素の認証をオンにして釣りメールを検出し、ブロックするとともに、全員といくつかの重要なグループのグループのメールを製限し、安全リスクを最小化します。
京東は従業員に対して定期的に釣りメールの訓練を行い、安全意識の育成訓練を行い、従業員が釣りメールを自発的に識別し、日常的な釣りメールの通報ルートを提供するのに役立つことが分かった。
今年に入ってから、関係部門はすでに50件以上の警告公告を出して、反詐欺センター:未知のリンクはクリックしない
「釣り」されるリスクを徹底的に取り除くには、企業が風製御能力を高めるほか、従業員個人も安全リスク意識を強化しなければならない。
「実際には、ハッカーは誰かの個人パスワードとログイン情報を簡単に取得できることをデフォルトしています」。李鉄軍は澎湃たる新聞記者に伝えた。「人々は多くのシーンでパスワードを使用しているため、一部のパスワードが流出すると、すべてのパスワードが流出し、解読が難しくなりません」。
李鉄軍氏は、従業員は普段、あまり簡単なパスワードを使わないようにし、同じパスワードで異なるシーンを適用しないようにしなければならないと考えている。「このケースは、携帯電話でコードをスキャンした後にフィッシングサイトにアクセスしただけで、影響は比較的小さい。さらに深刻なのは、サイトを開くと社内システムが自動的にバックドアプログラムをインストールし、ウイルスを解放し、内部ネットワーク全体が麻痺する可能性があり、その後の影響はさらに予想できない可能性がある」
フィッシングメールはあまり見られないが、新型コロナウイルスの流行以来、在宅勤務の頻度が高くなるにつれて、類似の詐欺事件が増加する傾向にあることが記者の観察で分かった。多くの公安機関、反詐欺センターもこのことに注目し、ヒントを提供しています。 記者の公式微博、微信などのプラットフォームを検索して不完全な統計を行い、今年に入ってから、吉林、内モンゴル、青海、河南、江蘇、浙江、上海、福建、広東などの省市を含む百近くの公安機関と反詐欺センターが微信、微博などのプラットフォームを通じて「補助金詐欺」を警戒する公告を出したことがあり、数は50件を超えた。
今年2月24日、江蘇省公安庁は公式サイトで南京市公安局のセキュリティ対策のヒントを転載し、その中で特に「補助金を受け取る」という名前の詐欺メールを解析した。容擬者はまず技術手段で企業のメールボックスを突破した後、人事、財務部門の名義で偽の通知を送り、従業員に身分証明書番号、銀行カード番号、携帯電話番号、カード内の残高などの情報を記入するよう誘導した。続いて、容擬者は銀行カードの残高に基づいて詐欺の「目標金額」を確定し、現金化しやすいチャージカードなどの仮想物品を迅速にネット通販し、銀行が送信した支払メールの検証コードを再びカバーし、ブラシを盗むことを実現した。
これに対して、全国の多くの詐欺防止センターはすべて近い4つのヒントを提供しました:情報の真偽をよく選別します;公式ルートを通じて関連情報を理解する。96110(反詐欺専用線)からの電話はすぐに出て、国家反詐欺センターAPPをダウンロードしてインストールしてください。国家反詐欺センターも反詐欺を「三不一多」の原則の口訣にまとめた:未知のリンクはクリックしない、見知らぬ電話は軽信しない、個人情報は明らかにしない、振替送金は多く確認する。
また、公安機関と反詐欺センターのほか、今年に入ってから全国の多くの裁判所検察院、人社部門、銀保監部門、複数の銀行、高等学院と研究機関がフィッシングメールに関する詐欺防止のヒントを発表したことも観察された。3月15日、人的資源と社会保障部は公式微信で「2022補助金」を否定し、詐欺情報にだまされないように注意した。
