骗子在拿到了验证码后 , 结合手机号码、身份证号码、银行卡号 , 就已经能够让银行“配合”转移受害者的财产了 。 而在银行眼中 , 既然这一次请求获得了账号关联手机号提供的验证码 , 自然就被会认为是账号主人在进行操作 。
简单来说 , 此次搜狐员工被骗 , 就是骗子以“补贴”为名诱之以利 , 然后让受害者自己主动交出了“洗劫”银行卡的关键——验证码 。
事实上 , 早在明代张应俞的《骗经》中就已经揭露了大量的骗术 , 如今随着互联网的普及 , 骗术也更为多样化 , 但邮件诈骗其实是属于互联网时代最古老的诈骗模式 。
那么问题就来了 , 随着技术的进步 , 利用电子邮件进行诈骗的行为为什么没有销声匿迹呢?这其实是因为电子邮箱本身并没有消亡 , 只是不再是互联网应用的主角 , 它也并没有被微信、QQ等即时通讯工具取代 。
电子邮件因其具备可存档、可追溯 , 且去中心化的特性 , 一直以来作为比即时通讯应用更加正式的沟通渠道存在 , 并被广泛地应用在工作中 , 在电子邮件中传输附件内容也是工作中经常遇到的情况 。 换句话来说 , 在飞书、钉钉真正意义上代替企业OA、代替电子邮件前 , 电子邮件作为一个工作场景下正式的沟通机制势必还会长期存在 。
但电子邮件本身作为一个古老的互联网产品 , 其安全机制其实是相对落后的 。
根据此前美国联邦调查局的统计数据显示 , 商业电子邮件诈骗(BEC)虽然在投诉量排行榜上只位居第九 , 但已造成了24亿美元损失的超高“战绩” 。 而电子邮件诈骗泛滥的最大原因是无需对方同意 , 只要知道邮件地址就可以发送信息 , 这种特性与电话是一模一样的 。
再加上电子邮件基于的SMTP和POP3协议 , 是属于Internet基础的TCP/IP协议簇 , 而全世界都在使用的通用协议也导致了用户可以使用任何一种客户端 , 以任何一种方式查看邮件 。
电子邮件的这些特质导致了著名的垃圾邮件问题 , 也诞生了Anti-spam这一反垃圾邮件技术 , 但基于大数据与机器学习的Anti-spam并不是万能的 , 这一技术的实现在于数据提取与特征匹配 , 追求的是风险与成本的平衡 , 所以是不可能拦截所有垃圾邮件的 。 归根结底 , 电子邮件诈骗是是一种相对技术含量较低的骗术 , 但对骗子来说则更是低风险、高回报 。
回到此次搜狐的案例上 , 这种电子邮件诈骗在结合了社会工程学后迸发的威力无疑是巨大的 , 因为这些攻击来自受信任的对象 , 且邮件内容和口吻也都是熟悉的、要求回复的时间紧迫 , 因此才使得其真假难以识别 。 再加上 , 这类邮件往往很少会携带可检测拦截的URL或恶意附件等攻击载荷 , 能够绕过一般的邮件安全防护机制 。
事实上 , 想要避免被中招搜狐此次这样的钓鱼邮件 , 最好的应对措施就是遇到索取个人信息的邮件时 , 借助其它方式确认一下文件的真实性 , 比如在公司内网或工作群里吱一声 。
- 银行卡的短信通知功能,有必要开通吗?银行内部员工做出解答
- 民生银行西南首家“智慧银行体验店”开业 带您超前体验未来银行
- 银行卡要不要开通短信通知?许多人不当回事,多亏了银行员工提醒
- 招商证券:直播电商下半场,淘宝直播专业化内容塑造核心价值
- 网商银行发起“乡村助农团”:发动社会各界力量 为乡村做一件
- 美团|微信未绑银行卡没有零钱,照样也能微信支付!特别适合老人和孩子
- 微信|?微信如果绑定银行卡,别不当个事,不注意吃亏可能就是你
- 银行|互联网的经济后果
- 移动支付|移动支付环境下,有新支付方式出现,19家银行已行动
- 易观分析:《数字经济全景白皮书》浓缩了易观分析对于数字经济各行业经验和数据的积累|银行数字化:手机银行为入口,数字人民币为场景