招商银行|一封小小的电子邮件,怎么骗到了互联网大厂员工( 二 )


骗子在拿到了验证码后 , 结合手机号码、身份证号码、银行卡号 , 就已经能够让银行“配合”转移受害者的财产了 。 而在银行眼中 , 既然这一次请求获得了账号关联手机号提供的验证码 , 自然就被会认为是账号主人在进行操作 。
简单来说 , 此次搜狐员工被骗 , 就是骗子以“补贴”为名诱之以利 , 然后让受害者自己主动交出了“洗劫”银行卡的关键——验证码 。



事实上 , 早在明代张应俞的《骗经》中就已经揭露了大量的骗术 , 如今随着互联网的普及 , 骗术也更为多样化 , 但邮件诈骗其实是属于互联网时代最古老的诈骗模式 。
那么问题就来了 , 随着技术的进步 , 利用电子邮件进行诈骗的行为为什么没有销声匿迹呢?这其实是因为电子邮箱本身并没有消亡 , 只是不再是互联网应用的主角 , 它也并没有被微信、QQ等即时通讯工具取代 。
电子邮件因其具备可存档、可追溯 , 且去中心化的特性 , 一直以来作为比即时通讯应用更加正式的沟通渠道存在 , 并被广泛地应用在工作中 , 在电子邮件中传输附件内容也是工作中经常遇到的情况 。 换句话来说 , 在飞书、钉钉真正意义上代替企业OA、代替电子邮件前 , 电子邮件作为一个工作场景下正式的沟通机制势必还会长期存在 。
但电子邮件本身作为一个古老的互联网产品 , 其安全机制其实是相对落后的 。



根据此前美国联邦调查局的统计数据显示 , 商业电子邮件诈骗(BEC)虽然在投诉量排行榜上只位居第九 , 但已造成了24亿美元损失的超高“战绩” 。 而电子邮件诈骗泛滥的最大原因是无需对方同意 , 只要知道邮件地址就可以发送信息 , 这种特性与电话是一模一样的 。
再加上电子邮件基于的SMTP和POP3协议 , 是属于Internet基础的TCP/IP协议簇 , 而全世界都在使用的通用协议也导致了用户可以使用任何一种客户端 , 以任何一种方式查看邮件 。
电子邮件的这些特质导致了著名的垃圾邮件问题 , 也诞生了Anti-spam这一反垃圾邮件技术 , 但基于大数据与机器学习的Anti-spam并不是万能的 , 这一技术的实现在于数据提取与特征匹配 , 追求的是风险与成本的平衡 , 所以是不可能拦截所有垃圾邮件的 。 归根结底 , 电子邮件诈骗是是一种相对技术含量较低的骗术 , 但对骗子来说则更是低风险、高回报 。



回到此次搜狐的案例上 , 这种电子邮件诈骗在结合了社会工程学后迸发的威力无疑是巨大的 , 因为这些攻击来自受信任的对象 , 且邮件内容和口吻也都是熟悉的、要求回复的时间紧迫 , 因此才使得其真假难以识别 。 再加上 , 这类邮件往往很少会携带可检测拦截的URL或恶意附件等攻击载荷 , 能够绕过一般的邮件安全防护机制 。
事实上 , 想要避免被中招搜狐此次这样的钓鱼邮件 , 最好的应对措施就是遇到索取个人信息的邮件时 , 借助其它方式确认一下文件的真实性 , 比如在公司内网或工作群里吱一声 。