这封社会工程邮件近乎完美,但一个小小的破绽导致整个社工尝试失败。
美国一位网友最近分享了一封寄电子邮件,看到这封邮件的所有人都认为这是一次近乎完美的社会工程尝试。不过,信息安全意识培训加上管理层对任何可疑要求进行询问的全力支持,成功避免了该攻击可能造成的巨额财务损失。
那封电子邮件一眼看去似乎是从该公司首席执行官的账户发给审计人员的,邮件本身与审计员和首席执行官之间早前的沟通很相似。
这封伪造的电子邮件盗用了该公司的Outlook模板,使用那位首席执行官的头像,还伪造了一个用他的邮件地址构造的FROM(邮件作者)域,但退信地址(return-path)却又不一样。不过,审计人员并没有仔细检查邮件头信息。
在她看来,该邮件内容的行文基调看起来太正常了。虽然有些拼写错误和格式问题,但快速交流中在所难免,日常操作上也相当常见。
这封寄给审计员的电子邮件,连同其中的错误,如下文所示:
关于我们目前正在处理的并购案,理查德·斯平克律师将与你联系。可以的话,请全力跟进,满足他的所有要求。我们需要为此支付一定数额的费用。他将进一步向你解释该如何遵照规程(此处“规程”一词拼错)进行电汇。
过去几个月里,我们一直在美国证交会(SEC)监管下推进此并购案。快速有效地进行此案对公司而言很关键。
我授权你全权代表我支付他要求的任何款项。你需要将此事完全保密,因为你是目前唯一一个知晓该情况的人。
你将保持绝 对酌情处理权,并只 与理查德一起工作。
遇到任何问题都必须直接跟他联系解决。
我们将在下周公开此并购案,其他公司同事届时将知晓此事。公开前几天我将亲自与你和理查德见面,希望届时能得到关于并购进展的全面更新。
感谢你对此的全情关注。这封邮件几乎就成功了。审计人员差点就遵照指示了,不过,该邮件有什么东西不对头;真的是很小很小的一点——但它凸显了出来。
它是用首席执行官的全名签发的。那位首席执行官从不用他的全名,总是用缩略版本——比如,用迪克而不用理查德。
在该网友的公司里,信息安全意识培训是常态。无论如何,员工都被鼓励汇报任何异常,哪怕他们只有一丝一毫的怀疑。
因此,该公司任何人都被允许无视管理层的要求并报告给安全团队进行验证。这起事件里,由于该公司与一些关键市场和行业有联系,像这样的骗局可能造成灾难性后果。
因为名字的差异,审计员觉得该要求应该被核实并引起注意。这个决定是对的。
郑重声明,这不是一封演习邮件。这是真正的攻击,而且差点就成功了。阻止骗局成功的,是意识和对汇报异常的鼓励。
以上呈现的攻击就发生在30天之内。有可能其他涉足金融相关业务的公司也收到了类似邮件,因而,那位读者觉得公开此事敲响警钟是值得的。