Em 25 de maio, todos os funcionários do Sohu sofreram fraude salarial subsídio e correram para o topo da pesquisa quente do microblog.
Um registro de bate-papo circulado na Internet mostra que todos os funcionários da Sohu receberam um e-mail do “Departamento de Finanças Sohu” intitulado “Aviso de subsídio salarial empregado em maio” na manhã de 18 de maio. Registros de bate-papo disseram que muitos funcionários foram enganados e o saldo do cartão salarial foi transferido. De acordo com o repórter de notícias surging confirmou a vários funcionários internos da Sohu que ele recebeu o e-mail de fraude acima.
No mesmo dia, Sohu respondeu através do microblog oficial que, após a investigação, um funcionário foi acidentalmente phished ao usar e-mail, resultando na divulgação de sua senha, e então estava se passando como o departamento financeiro para roubar e-mail. Após o incidente, o Departamento de TI e Segurança da empresa tratou da emergência imediatamente e comunicou o caso ao órgão de segurança pública. De acordo com as estatísticas, um total de 24 funcionários foram fraudados em mais de 40000 yuan.
Repórteres de notícias emergentes entrevistaram vários especialistas do setor e descobriram que o e-mail semelhante de “subsídio salarial” é uma fraude comum de phishing, que quase não tem dificuldade técnica na operação. Além disso, esses serviços também podem ser facilmente comprados na plataforma de comércio eletrônico, roubando informações de outras pessoas e enviando e-mails falsos, que se tornou uma cadeia industrial oculta preto e cinza.
Ao mesmo tempo, de acordo com estatísticas incompletas do repórter, desde este ano, departamentos relevantes em todo o país emitiram anúncios sobre a proteção contra “fraudes de subsídios” por muitas vezes, com um número de mais de 50.
por que as grandes fábricas estão repetidamente sujeitas a “fraude na Internet”? Especialista: não há limite para a tecnologia, e é difícil evitar
Ao meio-dia de 25 de maio, o CEO da Sohu Zhang Chaoyang imediatamente enviou um microblog para responder ao incidente de “fraude de funcionários”.
Ele mencionou que a razão por trás disso foi que a senha interna de e-mail de um funcionário da Sohu foi roubada, e o ladrão fingiu ser o departamento financeiro para enviar uma carta para o funcionário. Depois que a empresa encontrou, o departamento técnico lidou com urgência, e a perda total de capital foi inferior a 50000 yuan. Além disso, o e-mail fraudulento enviado desta vez não envolve a caixa de correio pessoal de serviços públicos.
Repórteres de notícias emergentes descobriram que e-mails fraudulentos semelhantes baseados em “subsídios salariais” não são raros dentro das empresas. Em fevereiro deste ano, a captura de tela de “correio fraudulento” da estação B. Pessoas familiarizadas com o assunto disseram a repórteres que o e-mail foi espalhado para todos os funcionários através de envio em massa, e muitos funcionários foram enganados, com um total de dezenas de milhares de yuans. De acordo com a captura de tela da circulação da Internet, Dongfeng Automobile Co.Ltd(600006) , Midea, mídia de manga e outras empresas foram “baleadas”, e alguns funcionários relataram que receberam o e-mail oficial de fraude de phishing da empresa falsa.
Screenshot do e-mail de fraude recebido por transmissão de rede interna
Captura de tela interna da mídia manga online
Captura de tela de Midea Group Co.Ltd(000333) e-mail interno via Internet
“É provável que este seja um ataque típico de phishing OA.” Pei Zhiyong, diretor do centro de pesquisa de segurança da indústria Qi An Xin Technology Group Inc(688561) disse a repórteres.
Em sua opinião, o processo de ataque em circunstâncias normais é aproximadamente o seguinte: o invasor primeiro rouba ou registra maliciosamente uma caixa de correio interna da empresa e, em seguida, envia um e-mail para outros funcionários, atraindo-os a inserir uma conta e senha no site de phishing (página falsa de login de e-mail da empresa), para enganar a senha da caixa de correio. “O processo de um invasor roubar uma conta de e-mail interna provavelmente será concluído por meio de outro e-mail de phishing.”
“E-mail em si é um serviço de Internet com baixo custo de ataque, mas proteção difícil.” Pei Zhiyong disse. só precisa saber o endereço de e-mail dos funcionários internos, você pode enviar phishing ou e-mails venenosos para as vítimas através de qualquer e-mail sem conhecer o sistema interno da empresa. “
“Não há dificuldade técnica por trás dos e-mails fraudulentos encontrados pelo Sohu.” Qu Zilong, fundador da equipe de segurança de facas afiadas da rede, confessou ter surgido jornalistas. “É muito fácil conseguir um ataque semelhante à empresa. Você pode pensar em centenas de maneiras.”
Muitos internautas se perguntaram por que Sohu, como uma empresa profissional que fornece serviço de e-mail, também encontrou a fraude de e-mail de “phishing” em massa?
Na opinião de Qu Zilong, é extremamente difícil erradicar completamente riscos semelhantes. “A primeira é a importância interna da empresa. Se a empresa prestar atenção suficiente, ela pode adicionar instruções de filtragem à caixa de correio interna para melhorar a capacidade de controle de risco, mas também é difícil evitar que as informações pessoais dos funcionários sejam obtidas por sites de phishing.”
Qu Zilong mencionou que, devido à comunicação de trabalho extremamente próxima dentro da empresa, uma vez que um funcionário inadvertidamente divulga informações através de um site de phishing, isso significa que as informações de toda a empresa serão expostas a hackers. Mesmo que não seja transmitido por e-mail, também pode ser transmitido através de telefones celulares, wechat e outras formas, o que é extremamente difícil de prevenir completamente. “A menos que a empresa implemente o monitoramento do computador para verificar todos os endereços do site que os funcionários navegam no computador da empresa, mas isso envolve privacidade pessoal.”
Os e-mails de phishing podem ser identificados por meios técnicos? Pei Zhiyong introduziu que os principais métodos de identificação usados atualmente incluem: identificar se o e-mail é malicioso, analisar se há palavras sensíveis no texto e julgar se o site no e-mail é um site de phishing. Se o invasor roubou a caixa de correio de um funcionário interno e usa um novo site de phishing, contando apenas com o sistema de identificação de e-mail, é difícil identificar e-mails de phishing.
Ele admitiu que se for um e-mail externo em massa, você pode julgar se é spam pelo número de destinatários e interceptá-lo. No entanto, se for um e-mail em massa enviado por caixa de correio interna, muitas vezes é difícil encontrá-lo. Se o invasor enviar apenas para um ou mais destinatários, geralmente é indetectável por meios.
gastar 800 yuan para alterar o remetente do e-mail à vontade
“Phishing mail” existe há muito tempo e não é uma nova forma de fraude. Embora os funcionários sejam enganados por meio de sites de phishing, a chave para ganhar sua confiança é que o sufixo de e-mail vem da empresa.
O repórter aprendeu que existem muitas maneiras de alcançar o efeito da mudança de e-mail, entre as quais o mais comumente usado é usar o agente de e-mail. Pei Zhiyong introduziu que o chamado agente de e-mail refere-se a que o software primeiro intercepta o e-mail e envia-o para uma caixa de correio controlada, então intercepta o corpo do e-mail pela caixa de correio controlada e, em seguida, encaminha o e-mail para o destinatário original. A caixa de correio do remetente está oculta, de modo que a caixa de correio do remetente não seja a caixa de correio enviada pelo agente.
“Ao forjar o protocolo de envio e alterar as informações de transmissão, você pode facilmente alterar o endereço de e-mail, de modo a enviar e-mail de qualquer endereço.” O que Zilong disse quanto ao princípio por trás dele, pode ser comparado à entrega expressa. Atualmente, a maioria dos sistemas de caixa de correio na China não pode identificar corretamente o ataque de falsificação do remetente “ao preencher a lista de correio, o correio geral presta mais atenção às informações recebidas e não verificará totalmente as informações do remetente, o que significa que há espaço suficiente para falsificar as informações do remetente.”
Serviços semelhantes de agências de correio formaram uma cadeia industrial escondida em preto e cinza na plataforma de comércio eletrônico. Repórteres de notícias em ascensão pesquisaram as principais plataformas de comércio eletrônico com palavras-chave como “modificar remetente de e-mail”, “e-mail virtual” e “alterar endereço”, e descobriram que o serviço de forjar endereço de e-mail pode ser facilmente comprado. Um comerciante disse aos repórteres que se é o endereço de envio, hora ou o nome do remetente pode ser modificado, eo preço é de cerca de 800 yuan / capa. Se você adicionar um anexo, você ainda precisa de uma taxa de serviço de 200 yuan.
Os comerciantes que modificam o endereço de e-mail em uma plataforma de comércio eletrônico podem ser facilmente pesquisados
“800 yuan, tão caro?” Quando o repórter perguntou, o comerciante respondeu: “envie-o com o e-mail de outra pessoa. Pense nisso você mesmo. 800 é caro?”
Outra pessoa do setor mostrou aos repórteres que você pode enviar e-mail para qualquer endereço de e-mail comprando o servidor correspondente. A página é especialmente marcada: “se você usar esta ferramenta para enviar qualquer e-mail em violação de leis e regulamentos, isso não tem nada a ver com este site.”
empresas como evitar? O modo de “confiança zero” pode ser adotado, o que requer um certo custo
O sistema de e-mail com vulnerabilidades frequentes não pode tomar medidas preventivas? A sugestão geral dada por especialistas do setor é que o método “zero trust” pode ser usado, ou seja, o login e uso de todas as contas podem ser continuamente monitorados e dinamicamente autorizados.
O que é um sistema de “confiança zero”? Li Tiejun, especialista em segurança da Tencent, disse a jornalistas surgindo que, como o nome sugere, a chave para a “confiança zero” é quebrar a “confiança”, padrão para desconfiar de qualquer pessoa, equipamentos e sistemas dentro e fora da rede corporativa e reconstruir o controle de acesso com base na autenticação e autorização de identidade.
O sistema de “confiança zero” pode identificar quais contas têm atividades anormais e quais contas foram roubadas ou se tornaram contas de “insider” na primeira vez, e bloquear essas contas. Por exemplo, o e-mail de um funcionário acabou de fazer login no segmento de rede de escritório, mas de repente foi para um local fora do país para fazer login e, em seguida, enviou imediatamente um grande número de e-mails para outros funcionários, o que provavelmente será uma conta roubada e arriscada.
“Sob a proteção do mecanismo de confiança zero, os invasores descobrirão que não podem fazer login na intranet da empresa apenas confiando no nome de usuário e senha.” Li Tiejun disse que o sistema verificará se há exceções no login, e a identidade precisa ser verificada ainda mais através de senha dinâmica. Se a outra parte realmente se intrometer no sistema da empresa e quiser acessar informações-chave, os requisitos de verificação fornecidos pelo sistema de confiança zero serão maiores, o que pode efetivamente prevenir riscos.
No entanto, ele também mencionou que o sistema de confiança zero não é onipotente, e haverá “peixe perdido”, o que exige que as empresas forneçam soluções mais técnicas. “Por exemplo, em segundo plano, verifique constantemente a situação da rede, se a rede de cada host terá acesso anormal, e a localização do gateway da empresa verificará se um host acessou um site arriscado. Vale ressaltar que o sistema de confiança zero também precisa de um determinado custo corporativo.
Nos últimos anos, devido à ocorrência frequente de “fraude na Internet” semelhante, muitas empresas têm prestado mais atenção à segurança de rede. Tomando como exemplo a Tencent, a pessoa responsável disse ao repórter de notícias que a Tencent adicionou restrições como endereço comum, equipamento e tipo de aplicativo ao acesso aos recursos; Em termos de meios de resposta, a Tencent tem apenas dois tipos desde o início: liberação direta e rejeição direta, agora também adicionou notificação por SMS, notificação de wechat empresarial e autenticação de identidade multifatorial rigorosa ao acessar alguns recursos-chave.
A JD estabeleceu um comitê de segurança e controle de riscos em nível de grupo para conduzir gerenciamento unificado em questões de segurança e risco. Para o cenário de envio e recebimento de e-mails, jd.com abriu autenticação de dois fatores para detectar e interceptar e-mails de phishing, limitando os e-mails de grupo enviados por todos os funcionários e alguns grupos-chave, de modo a minimizar o risco de segurança.
O repórter aprendeu que a JD também realizará regularmente exercícios de e-mail de phishing e treinamento de conscientização de segurança para os funcionários para ajudar os funcionários a identificar ativamente e-mails de phishing e fornecer canais de relatórios para e-mails de phishing diários.
desde este ano, os departamentos relevantes emitiram mais de 50 avisos de aviso.
Para eliminar completamente o risco de ser “pescado”, além de melhorar a capacidade de controle de risco das empresas, os funcionários também devem fortalecer sua consciência pessoal dos riscos de segurança.
“Na verdade, o padrão é que os hackers podem facilmente obter a senha pessoal de alguém e informações de login.” Li Tiejun disse a jornalistas surgindo. “Como as pessoas costumam usar uma senha para vários cenários, uma vez que algumas das senhas são vazadas, isso significa que todas as senhas são vazadas, e não é difícil decifrá-las.”
Li Tiejun acredita que os funcionários devem tentar não usar senhas muito simples em horários comuns e não usar a mesma senha para aplicar cenários diferentes. “Este caso é apenas um site de phishing visitado pelo celular depois de digitalizar o código, e o impacto é relativamente pequeno. O mais grave é que, ao abrir o site, o sistema interno da empresa pode instalar automaticamente programas de backdoor e liberar vírus, resultando na paralisia de toda a rede interna, e o impacto subsequente pode ser ainda pior.”
Embora a frequência de casos de phishing tenha aumentado, não é comum os jornalistas observarem uma tendência semelhante desde o surto de phishing em casa. Muitos órgãos locais de segurança pública e centros antifraude também prestaram atenção ao assunto e deram dicas de acordo com estatísticas incompletas da pesquisa do repórter por microblog oficial, wechat e outras plataformas, desde este ano, quase 100 órgãos de segurança pública e centros antifraude em Jilin, Mongólia Interior, Qinghai, Henan, Jiangsu, Zhejiang, Xangai, Fujian, Guangdong e outras províncias emitiram mais de 50 anúncios para se proteger contra “golpes de subsídios” através do wechat, microblog e outras plataformas
Em 24 de fevereiro deste ano, o Departamento de Segurança Pública da Província de Jiangsu reimpressou as dicas de segurança do Departamento de Segurança Pública de Nanjing em seu site oficial, no qual analisou especialmente a rotina de e-mail fraudulento em nome de “receber subsídios”: o suspeito primeiro rompeu o e-mail corporativo por meios técnicos e, em seguida, enviou avisos falsos em nome do pessoal e departamentos financeiros para induzir os funcionários a preencher o número de identificação, número de cartão bancário, número de telefone celular reservado, saldo do cartão e outras informações. Em seguida, o suspeito determinou o “valor alvo” da fraude de acordo com o saldo do cartão bancário, rapidamente online comprou itens virtuais, como cartões de recarga que são fáceis de realizar, e novamente levou o código de verificação SMS de pagamento enviado pelo banco, de modo a alcançar o roubo.
A este respeito, muitos centros antifraude em todo o país deram quatro dicas semelhantes: identificar cuidadosamente a autenticidade das informações; Obter informações relevantes através dos canais oficiais; 96110 (linha direta antifraude) por favor responda a chamada imediatamente. Baixe e instale o aplicativo do centro nacional antifraude O centro nacional antifraude também resumiu a antifraude como a fórmula do princípio “três não e mais um”: não clique em links desconhecidos, não confie em chamadas desconhecidas, não divulgue informações pessoais e verifique mais transferências e remessas.
Além disso, o repórter também observou que, além dos órgãos de segurança pública e centros antifraude, tribunais e procuradorias, departamentos de recursos humanos e previdência social, departamentos regulatórios bancários e seguros, bancos, faculdades e universidades e instituições de pesquisa em muitas partes do país também emitiram dicas de prevenção de fraudes em e-mails de phishing desde este ano. Em 15 de março, o Ministério de Recursos Humanos e Previdência Social refutou o “subsídio 2022” no wechat oficial e lembrou ao público para não se deixar enganar pelas informações fraudulentas.
