文章图片
文章图片
文章图片
如今 , 网络诈骗毫无疑问可以说是互联网改变社会生活的一个负面产物 , 并且也已经成为了各国执法机构严厉打击的对象 。 但可能与许多朋友想象的不同 , 不仅仅是对互联网不熟悉的中老年人成为了网络诈骗的重灾区 , 年轻人也同样容易中招 , 甚至于互联网行业从业者本身也难以幸免 。
日前 , #搜狐员工遭遇工资补助诈骗#就出现在了微博热搜榜中 。 据了解 , 搜狐公司的员工在5月18日收到了一封来自“搜狐财务部”、名为《5月份员工工资补助通知》的邮件 , 有20余名员工按邮件中附件的要求扫码 , 并填写了银行账号等信息 , 但最终不但没有等到所谓的补助 , 卡中的余额也被划走 。
据张朝阳在微博上透露的信息显示 , 此事是因为搜狐一位员工的内部邮箱密码被盗 , 使得盗贼冒充财务部发邮件给了员工 。 此事被发现后技术部门紧急进行了处理 , 资金损失总额少于5万元 , 并且此事不涉及对公共服务的个人邮箱xyz@sohu. com 。 尽管说此次受害的搜狐员工损失不大 , 但是影响却显然不小 , 毕竟大家发现原来互联网大厂在网络诈骗上也不能“免俗” 。
那么骗子是如何骗走搜狐员工的钱呢?按搜狐员工们的说法 , 是“因为邮件后缀是公司邮箱 , 所以少了很多防备心理” , 以及“平时报销也会提供银行卡号 , 所以没有特别在意” 。
其实 , 这一次的诈骗是一套“OA钓鱼”与诈骗的组合拳 , 结合了社会工程学和网络攻击 。 所谓”OA钓鱼“就是针的对企业OA系统 , 攻击者会在网络上大规模采集不同企业或机构员工的邮箱地址 , 然后针对弱口令、也就是密码简单的企业邮箱进行“网络钓鱼”或直接“撞库” , 并拿到企业OA用的内部邮箱 。
在有了内部邮箱账号后 , 攻击者就相当于是打入了企业内部 。 然后就可以模仿企业常规的邮件写一个正常的“补贴通知” , 并直接群发给OA系统中的所有人 。 由于攻击者使用了“补贴”这样一个模糊的词汇 , 显然也直接提升了一般人分辨的难度 。 再加上由于邮件是来自公司内部邮箱 , 所以也会进一步降低受害者的防范心理 , 让受害者对于邮件的信任度提高 , 最终点击额外的附件 。
对于此事 , 360集团董事长周鸿祎在社交平台表示 , “只要你打开看 , 就会有恶意程序或代码利用漏洞入驻 , 然后对你发起进一步网络攻击” 。
没错 , 在邮件中包含的附件才是此事真正的主体 。 尽管说 , 这一份被伪装起来的附件真正内容无从得知 , 但不出意外的话 , 要么是木马程序、要么就是一个指向钓鱼网站的链接 。 考虑到此事并非“放长线钓大鱼” , 所以用链接导向钓鱼网站的可能性也极大 。
目前 , 许多钓鱼网站都被设计地极为拟真 , 甚至于通过获取请求流量中的特征、例如屏幕分辨率信息 , 能够来辨别受害者的手机是Android还是iOS , 甚至如果检测到访问设备是电脑 , 还会提示“请使用手机访问” 。 同时要求填写的信息会是写姓名、身份证号、银行卡号、手机号和验证码 , 通常反而不会涉及密码 。 这也是由于如今大多数机构会使用验证码这种随机性极强的动态密钥 , 来代替传统的密码 。
骗子在拿到了验证码后 , 结合手机号码、身份证号码、银行卡号 , 就已经能够让银行“配合”转移受害者的财产了 。 而在银行眼中 , 既然这一次请求获得了账号关联手机号提供的验证码 , 自然就被会认为是账号主人在进行操作 。
简单来说 , 此次搜狐员工被骗 , 就是骗子以“补贴”为名诱之以利 , 然后让受害者自己主动交出了“洗劫”银行卡的关键——验证码 。
事实上 , 早在明代张应俞的《骗经》中就已经揭露了大量的骗术 , 如今随着互联网的普及 , 骗术也更为多样化 , 但邮件诈骗其实是属于互联网时代最古老的诈骗模式 。
推荐阅读
- |几枚小小的分币价值几万?钱币收藏市场为何如此火爆?
- 小小的动物园三年级400个字?小学生三年级动物园的作文怎么写-
- 戍边英雄陈祥榕的事迹?写给戍边英雄陈祥榕的一封信
- 写给他的一封小情书?一封小情书的甜蜜是什么药
- 小小的皮筋圈,纠正孩子握笔姿势
- |钓鲢鳙需打窝还是抽窝, 王者之战给出答案, 崔秉亮怼邓刚, 诚不欺我
- 如何写好一封电子邮件 电子邮件怎么写
- 我给女儿写的一封信?写给女儿的一封信_1
- 我给祖国妈妈写一封信?以给祖国妈妈写一封信为主题的作文六年级
- 小小的愿望高远母亲?高远的愿望是什么_1