诈骗又双叒叕升级了！钓鱼攻击已成常态诈骗手段！

 2022年5月25日上午，#搜狐全体员工遭遇工资补助诈骗#的话题冲上热搜。57P法治山东网

即使CEO张朝阳亲自声明事态没有报道的那么严重，围观群众还是纷纷表示不解：互联网公司的人也会被网络诈骗？57P法治山东网

 57P法治山东网

当然会，而且99%以上的互联网企业都被骗过。57P法治山东网

其中最常见的骗术就是钓鱼攻击。57P法治山东网

这里的“鱼”可不是江河湖海里自由的鱼，犯罪分子只钓企业里警惕性不高的人。57P法治山东网

而钓鱼攻击则是指利用电子通讯手段（通常为电子邮件），伪装权威身份以获取目标人员敏感信息的违法犯罪行为。57P法治山东网

01 骗人第一步：准备“鱼饵”57P法治山东网

想要提高钓鱼的成功率，准备“鱼饵”是非常重要的。57P法治山东网

首先，要了解“鱼群”特征。具体来说就是摸清目标单位邮箱、组织业务结构和组织关系等，这样就能伪装成领导、内部机构或者大客户获取目标人员信任。57P法治山东网

其次，“鱼饵”一定要诱人。和其他诈骗类似，“鱼饵”是犯罪分子利用目标人员人性脆弱性精心准备的话术，常见主题可以分为“趋利”（如工资补贴、商业机会）和“避害”（如责任自负、损失赔偿）两大类。57P法治山东网

 57P法治山东网

最后，“鱼饵”里一定要藏钩子。前期铺垫了那么多，就是为了让“鱼”咬钩。犯罪分子可以在邮件里布下鱼钩，如这个“2021工资补贴”的恶意链接，一旦受害者打开文档或打开链接，“鱼”就上钩了。57P法治山东网

 57P法治山东网

02 骗人第二步：抛出“鱼饵”57P法治山东网

抛出“鱼饵”是整个钓鱼攻击里最考验技术的环节了，从诈骗手法迷惑性上来区分，可以分为以下三级：57P法治山东网

低级“钓鱼佬”：用陌生身份和外部邮箱直接下发钓鱼邮件。（一般会被当作垃圾邮件处理，危险系数：⭐）57P法治山东网

中级“钓鱼佬”：利用高管、特定部门、重要客户的权威身份下发钓鱼邮件，所用邮箱地址与目标单位公用邮箱地址十分相似。（大部分企业邮箱会有安全检测，能拦截此类钓鱼邮件，危险系数：⭐⭐）57P法治山东网

高级“钓鱼佬”：利用邮件自身安全漏洞，绕过邮件spf安全检测以及伪造成用户单位的邮箱等方式下发钓鱼邮件，邮件内容和行文风格符合对应权威身份。（已绕过企业邮箱安全策略，迷惑性极强，危险系数：⭐⭐⭐⭐⭐）57P法治山东网

 57P法治山东网

根据搜狐公司官方声明，犯罪分子以财务部的名义用企业邮箱盗发邮件。57P法治山东网

一是利用了大多数人最容易放松警惕的“内部渠道”，二是财务报账要求填写银行卡号、手机号等信息也是常态，三是与年终奖发放时间相近的因素，可谓是“天时地利人和”考虑周全了，“抛饵”手段堪称完美。57P法治山东网

03 骗人第三步：收网57P法治山东网

成熟的“钓鱼佬”绝不满足于一只小鱼上钩，整个鱼塘才是他们的目标。57P法治山东网

本次事件中，犯罪分子最开始得手的只是一名员工的邮箱密码。但根据该名员工的邮箱密码，可以轻松翻阅过往邮件信息，对目标组织进行更深入的了解，再伪装成财务部工作人员，并面向全员发送诈骗邮件，最终导致多名员工被骗。57P法治山东网

而搜狐也只是这个“鱼塘”中一小块分区，根据互联网安全公司杭州安恒信息技术股份有限公司的数据分析，仅本次“工资补贴”类似诈骗活动就可追溯到2021年5月，数个知名大厂员工均遭受过类似诈骗，“鱼塘”范围还在不断扩大中。57P法治山东网

邮件钓鱼攻击已成常态诈骗手段！57P法治山东网

 57P法治山东网

04 防范建议57P法治山东网

诈骗团队和网络黑客握手，传统的诈骗手段从物理世界转移到虚拟世界，从借助电话、短信、微信等通讯工具，到利用安全漏洞、植入木马等攻击手段，让人防不胜防。57P法治山东网

这一次曝光的是员工财产损失，但在我们看不到地方，企业核心资产乃至商业机密信息，都可能因为一次邮件钓鱼攻击遭受损失。57P法治山东网

在此，公安局反诈中心为企、事业单位和个人提供几条邮件安全防范建议：57P法治山东网

对企、事业单位：57P法治山东网

1.使用NF、IPS、WAF等安全防护设备保证邮件服务器的基础环境安全。57P法治山东网

2.邮箱应具备基本的安全登录机制，如短信动态验证码、多因素安全认证、异地登录提醒等，及时更新软件版本，邀请安全厂商定期进行安全测试，减少web层面的风险。57P法治山东网

3.对于邮件正文中的钓鱼链接、恶意脚本，有条件的用户建议直接上邮件安全网关，最好具有沙箱功能，能对一些复杂后门文件进行运行监测。57P法治山东网

4.在每个员工终端上部署相关病毒防护软件，比如edr终端防护软件、企业杀毒软件等终端防护程序，防止员工点开恶意程序造成损失。57P法治山东网

对个人：57P法治山东网

1.安装必要的杀毒软件，并定期进行病毒查杀。57P法治山东网

2.保管好个人的邮箱、社交软件账户密码，且勿轻易告知他人。57P法治山东网

3.凡涉及到收集身份证号、银行卡号、验证码和转账的通知，一定和发件人当面确认，如不确定信息来源，可以拨打全国反诈专号96110进行咨询。57P法治山东网

来源：杭州防诈骗57P法治山东网