這封社會(huì)工程郵件近乎完美，但一個(gè)小小的破綻導(dǎo)致整個(gè)社工嘗試失敗。

美國(guó)一位網(wǎng)友最近分享了一封寄電子郵件，看到這封郵件的所有人都認(rèn)為這是一次近乎完美的社會(huì)工程嘗試。不過(guò)，信息安全意識(shí)培訓(xùn)加上管理層對(duì)任何可疑要求進(jìn)行詢問(wèn)的全力支持，成功避免了該攻擊可能造成的巨額財(cái)務(wù)損失。

[[152252]]

那封電子郵件一眼看去似乎是從該公司首席執(zhí)行官的賬戶發(fā)給審計(jì)人員的，郵件本身與審計(jì)員和首席執(zhí)行官之間早前的溝通很相似。

這封偽造的電子郵件盜用了該公司的Outlook模板，使用那位首席執(zhí)行官的頭像，還偽造了一個(gè)用他的郵件地址構(gòu)造的FROM(郵件作者)域，但退信地址(return-path)卻又不一樣。不過(guò)，審計(jì)人員并沒(méi)有仔細(xì)檢查郵件頭信息。

在她看來(lái)，該郵件內(nèi)容的行文基調(diào)看起來(lái)太正常了。雖然有些拼寫錯(cuò)誤和格式問(wèn)題，但快速交流中在所難免，日常操作上也相當(dāng)常見。

這封寄給審計(jì)員的電子郵件，連同其中的錯(cuò)誤，如下文所示：

關(guān)于我們目前正在處理的并購(gòu)案，理查德·斯平克律師將與你聯(lián)系。可以的話，請(qǐng)全力跟進(jìn)，滿足他的所有要求。我們需要為此支付一定數(shù)額的費(fèi)用。他將進(jìn)一步向你解釋該如何遵照規(guī)程(此處“規(guī)程”一詞拼錯(cuò))進(jìn)行電匯。

過(guò)去幾個(gè)月里，我們一直在美國(guó)證交會(huì)(SEC)監(jiān)管下推進(jìn)此并購(gòu)案。快速有效地進(jìn)行此案對(duì)公司而言很關(guān)鍵。

我授權(quán)你全權(quán)代表我支付他要求的任何款項(xiàng)。你需要將此事完全保密，因?yàn)槟闶悄壳拔ㄒ灰粋€(gè)知曉該情況的人。

你將保持絕 對(duì)酌情處理權(quán)，并只 與理查德一起工作。

遇到任何問(wèn)題都必須直接跟他聯(lián)系解決。

我們將在下周公開此并購(gòu)案，其他公司同事屆時(shí)將知曉此事。公開前幾天我將親自與你和理查德見面，希望屆時(shí)能得到關(guān)于并購(gòu)進(jìn)展的全面更新。

感謝你對(duì)此的全情關(guān)注。這封郵件幾乎就成功了。審計(jì)人員差點(diǎn)就遵照指示了，不過(guò)，該郵件有什么東西不對(duì)頭;真的是很小很小的一點(diǎn)——但它凸顯了出來(lái)。

它是用首席執(zhí)行官的全名簽發(fā)的。那位首席執(zhí)行官?gòu)牟挥盟娜偸怯每s略版本——比如，用迪克而不用理查德。

在該網(wǎng)友的公司里，信息安全意識(shí)培訓(xùn)是常態(tài)。無(wú)論如何，員工都被鼓勵(lì)匯報(bào)任何異常，哪怕他們只有一絲一毫的懷疑。

因此，該公司任何人都被允許無(wú)視管理層的要求并報(bào)告給安全團(tuán)隊(duì)進(jìn)行驗(yàn)證。這起事件里，由于該公司與一些關(guān)鍵市場(chǎng)和行業(yè)有聯(lián)系，像這樣的騙局可能造成災(zāi)難性后果。

因?yàn)槊值牟町悾瑢徲?jì)員覺(jué)得該要求應(yīng)該被核實(shí)并引起注意。這個(gè)決定是對(duì)的。

鄭重聲明，這不是一封演習(xí)郵件。這是真正的攻擊，而且差點(diǎn)就成功了。阻止騙局成功的，是意識(shí)和對(duì)匯報(bào)異常的鼓勵(lì)。

以上呈現(xiàn)的攻擊就發(fā)生在30天之內(nèi)。有可能其他涉足金融相關(guān)業(yè)務(wù)的公司也收到了類似郵件，因而，那位讀者覺(jué)得公開此事敲響警鐘是值得的。