放长线钓大鱼 聊聊钓鲸欺诈那些事儿

【51CTO.com原创稿件】近年来，网络欺诈案件层出不穷，诈骗手法日新月异。据FBI今年发布的报告显示， 2013年到2016年这4年间，骗子针对美国和跨国公司下手4万余次，卷走53亿多美元。更糟的是，钓鲸欺诈案件报告比去年增长了23.7倍。

2016年8月，全球第四大的电线电缆厂商，欧洲的 Leoni AG，即便全面部署着“可靠”的安全措施，也没有逃脱出电子邮件欺诈的魔爪，被骗走4460万美元。

2016年1月，空客、波音飞机的零件制造商FACC被钓鱼邮件骗走3.7亿元人民币(5千万欧元)，这一事件直接导致首席财务官(CFO)和首席执行官(CEO) 被双双解雇。

就在前不久，据美国媒体报道，美国科技巨头谷歌和脸书(Facebook)双双成为一个钓鱼式诈骗计划的受害者，两年内被骗金额达1亿美元。

到底什么是钓鲸欺诈?为何这些大公司会纷纷中招呢?有没有有效的安全措施可以抵御之一诈骗呢?51CTO记者带着这些疑问采访了360企业安全副总裁赵刚和360企业安全研究院 首席研究员裴智勇。

什么是钓鲸欺诈?

如果你知道钓鱼欺诈，那么就不难理解什么是钓鲸欺诈。钓鱼欺诈是犯罪分子通过发送虚假电子邮件或者模仿可信赖的网站，从而诱骗用户输入自己的个人信息，获取数据信息和经济利益。

而钓鲸欺诈，从字面上可想而知其“钓”的对象不再是 “鱼(普通的用户)”，而是“鲸(企业高管)”，目的是获取更大的经济利益。钓鲸欺诈又称BEC(企业电子邮件攻击，Business Email Compromise)诈骗，是针对企业高层管理人员的欺诈和商业电子邮件骗局。攻击者利用邮件系统本身的存在的安全漏洞攻破服务器或在客户端种植木马获得企业商业计划、发展动态等邮件内容编造邮件背景，并冒充出差或休假的企业高管，通过注册相似的邮箱地址或者设置邮箱的显示名，发出精心措辞的可信的邮件来欺骗公司。

为何谷歌、FACC这些大企业会纷纷中招?

对此，赵刚向记者解释，虽然一般大企业对安全防护很重视，可是百密终有一疏。因为钓鲸欺诈主要采用通过电子邮件这一载体实现欺诈，而电子邮件天然就是不安全的，这些安全事件的根源就在于邮件安全防护的缺失。

电子邮件的安全是个老问题，电子邮件在40多年前被创造出来时，仅是作为通过网络传送信息的应用，考虑的是互通性和方便性，而安全并不是设计的一部分。在美国和其他一些国家的公司商务往来都是选择电子邮件，作为一种非常正式的沟通方式存在。很多的注册都是通过邮箱来实现的，因此我们也常会看到一旦邮箱信息泄露，造成的影响是非常大的。

电子邮件安全威胁主要存在三个方面：一是，邮箱账号采用了弱密码，导致邮箱被盗用。二是，邮件内容没有加密。一般情况，我们发送的电子邮件内容是没有加密的，邮件传输与存储也是未加密的。现在，邮件通过通用的邮件协议将内容打包发送至接收方，接收方收到后，就可依据邮件协议解包释放内容。当邮件存在服务器上，又是以明文的方式存储。三是，冒充原邮箱地址(采用在原邮箱地址上多加一个字母等方式迷惑邮件接收方，例如：原邮箱地址为liulius@126.com,攻击者写成liuliuss@126.com)，在邮件中隐含恶意软件，钓鱼链接，或者其他带有某一目的性的内容。

“一般钓鲸欺诈的攻击者会采用长期隐藏的方式，从潜伏下来后就时刻关注这一邮箱的商业邮件往来，伺机而动。假如邮箱收到一个合作伙伴要求提供银行账号需要打款的信息时，攻击者可以删除这一邮件，并仿冒收件方发送银行账号，此时如果不能够及时发现，款将会打到攻击者的账号，造成直接的财产损失。” 裴智勇举例说。

如何防范钓鲸欺诈?

据赵刚介绍，针对目前邮件安全存在的问题，360推出了360邮件防盗系统。该系统通过防盗号、防窃密、防恶意三重防盗，可以从根源上防范“钓鲸欺诈”。

同时，360邮件防盗系统还结合当前用户使用场景推出了360安全邮件防盗助手，用户仅需安装使用助手程序，在不更换邮件服务器、客户端以及不改变用户使用习惯的情况下，增加安全防护功能，用以实现防盗号功能的快速集成。

赵刚坦言：“未来，钓鲸欺诈威胁必将会越来越严重。因为，越来越多的攻击者发现通过钓鲸欺诈可以获得巨大的经济利益。所以，作为安全厂商，我们需要不遗余力的提升邮件安全防护产品和技术。作为企业应加强员工安全意识的提升，并采取必要的技术手段。”

裴智勇也表示，在有组织的高级网络犯罪团伙中，通过邮件实现钓鲸诈骗变得越来越流行。他建议企业督促全体人员做到以下几点：

1、在收发邮件时，看清邮箱地址是否准确无误没有猫腻。防止攻击者通过相似邮箱地址蒙混过关，掉入攻击者的陷阱。

2、对收发的邮件要时刻保持警惕，特别是涉及重要工作和财务相关内容时。如果对邮件内容存疑，立即采用其他手段联系发送人确认内容是否属实，比如：通过手机、QQ、微信等多种联系方式做多重确认，然后再做处理。

3、发送邮件时，应该从组织通讯录里面去选择收件人，这样就不会发错地址。

作者：杜美洁
来源：51CTO