搜狐全员遭诈骗，暴露哪些安全问题？

Authing 官方2022.07.25阅读 956

此前，一则搜狐全体员工收到一封来自“搜狐财务部”名为《5 月份员工工资补助通知》的邮件，有员工按照附件要求扫码，并填写了银行账号等信息，导致卡内余额被划走冲上了微博热搜。

对此，搜狐 CEO 张朝阳回应称，事情不像大家想象那么严重： 1、搜狐一个员工的内部邮箱密码被盗，盗贼冒充财务部发信给员工； 2、发现后技术部门紧急处理，资金损失总额少于 5 万元； 3、不涉及对公共服务的个人邮箱。

Authing 售前解决方案负责人韩磊表示，在很多企业中，弱口令\弱密码是常见问题，特别是在遇到钓鱼攻击或者密码暴力破解时，攻击者很容易拿到对应的账号信息和密码信息，进而再进行新一轮的横向移动和渗透；所以在企业中，对于账号和密码的统一管理，包括密码复杂度，密码轮换机制，引入动态口令、生物特征等多因素认证手段，是保护企业安全的重要方式。

01 企业数据泄露之殇

搜狐员工遭遇邮件诈骗一事，暴露出企业在安全方面的漏洞。近些年，企业数据泄露事件屡见不鲜。

2021 年 4 月，Facebook 被曝有 5.33 亿用户数据遭泄露，涉及 106 个国家和地区，泄露的信息包括用户手机号码、名字、位置、出生年月日、电子邮件地址等。

2021 年 12 月，Apache 开源项目 Log4j 的远程代码执行漏洞细节被公开，漏洞爆发 72 小时后，仅 CPR 传感器捕捉到利用该漏洞尝试攻击的行为就已超过 83 万次。

2022 年 2 月 8 日，北京某科技公司因爬虫窃密案被判处罚金人民币四千万元，被告人王某某被判处有期徒刑七年，罚金人民币一千万元，其他被告人均被判处相应刑罚。该公司在 2015 年至 2019 年间组建爬虫技术团队，在未取得求职者和平台直接授权的情况下，秘密爬取国内主流招聘平台上的求职者简历数据，涉及 2.1 亿余条个人信息。

近年来，企业数据信息泄露事件也同样频发，企业数据安全岌岌可危。根据 IBM 安全公司第 17 届年度《数据泄露成本报告》（该研究在 2020 年 5 月至 2021 年 3 月期间考察了全球 500 家机构），数据泄露的平均成本已超过 420 万美元，同比增长 10%。就攻击的规模而言，有 14 家公司被确认遭受了重大的数据泄露，涉及 1000 多万条记录的泄露，造成 5200 万美元损失到 6500 多万条记录的泄露事件，损失 4.01 亿美元不等，损失范围涉及技术、法律、监管、员工生产力的损失、品牌资产和消费者损失等。

企业发现数据泄露的平均时间是 197 天，控制住数据泄露还需要平均 69 天时间。发现和控制的时间越久，产生的损失也越高。

02 为什么信息诈骗屡禁不止？

第一，诈骗套路多。以这次搜狐诈骗为例，可疑邮件发信地址为 sohutv-legal@sohu-inc.com，为搜狐内部域名，且能够通过邮箱给全体搜狐员工发送邮件，说明搜狐内部网络遭到了黑客攻击，或被内部不法分子钻了空子，曾记否内部程序员删库跑路事件屡见不鲜，最终造成搜狐员工很难分辨邮箱真伪，造成大量信息泄露的惨剧。

第二，诈骗参与人数众多、并呈现高学历趋势。据统计，诈骗从业人数超过 160 万，年产值高达 1152 亿元。并且，诈骗从业者呈现高学历趋势。

广州一电信诈骗犯罪团伙的 5 名技术骨干中，3 人为研究生学历、2 人为本科学历，专业多为对口的计算机和信息技术；杭州市公安局破获的 3 起电信诈骗案件，犯罪嫌疑人中大学生众多，这些高学历者利用网络技术漏洞去做倒卖手机号、盗取银行卡信息、炒股等不法勾当。

对此，《光明观察》评论到，高学历并不是杜绝犯罪的天然屏障，一个人经过十几年的寒窗苦修，只能说因此具备了进入社会、铺展人生的基础条件，画好了底色。至于在接下来的人生中往哪个方向走，仍在于自己如何选择。

第三，诈骗追踪困难。公安部数据显示，随着国内对电信网络诈骗的打击力度加大，境内大批诈骗窝点开始加速向境外转移，主要分布在菲律宾、柬埔寨、马来西亚、越南、缅甸等东南亚国家，特别是缅北地区，作案数量占全部境外案件的 68.5%。

根据中国信通院发布《新形势下电信网络诈骗治理研究报告（2020年）》显示，受疫情影响，传统诈骗正从电话诈骗向互联网诈骗转移，受骗人群集中在年轻群体及经济发达地区，境外接入诈骗居高不下，加大了追踪溯源和侦查打击难度。

03 互联网安全守护神：多因素身份验证

通过传统单一的身份认证方式已无法满足用户身份认证过程中对安全性、准确性、灵活性等方面的更高要求。对于企业和员工而言，应该如何防范类似的风险？

随着科技的发展，如今越来越多的企业采用移动和云技术；与此同时，越来越多的工作在企业安全网络之外完成，企业的敏感资产不再有一堵围墙——员工、合作伙伴和供应商都可以跨越传统边界，访问企业数据。

安全领域的这种转变导致了零信任模型的诞生。Gartner 在其 2017 年的 CARTA 框架中强调：零信任不仅需要更加关注入口的认证和授权，还要通过自适应的、基于风险的评估来识别潜在访问威胁。

「零信任」的策略就是「不相信任何人」，除非明确接入者身份，否则将无法通过验证，进行下一步操作，Authing 正是零信任安全体系下身份安全基础设施的产品实现。

通过对数据安全监管等技术的研究，Authing 提升了针对违法数据流动等安全隐患的监测发现与处理能力，采用全局 MFA 提升整体的安全性。

多因素身份验证（下文统称为 MFA）是一种非常简单的安全实践方法，它能够在用户名称和密码之外再增加一层保护。启用多因素身份验证后，用户进行操作时，除了需要提供用户名和密码外（第一次身份验证），还需要进行第二次身份验证，多因素身份验证结合起来将为您的账号和资源提供更高的安全保护。

MFA 建立了一个多层次的防御，使没有被授权的人更难访问计算机系统或网络。MFA 由 2 个或 3 个独立的凭证进行验证，这些凭证主要包含以下三个要素：

所知道的内容：用户当前已经记忆的内容，最常见的如用户名密码等；所拥有的物品：用户拥有的身份认证证明，最常见的方式有 ID 卡、U 盾、磁卡等；所具备的特征：用户自身生物唯一特征，如用户的指纹、虹膜等。

在微软披露的最新复杂钓鱼活动中，攻击者运用了新技术，将自己的设备加入到企业网络中，以执行进一步的传播活动。一旦组织没有激活多因素身份验证，攻击者只要窃取凭证，就能通过自带设备（BYOD）注册自己的设备，并使用已窃取的组织凭证，发送组织内钓鱼信件扩展立足点，甚至还会发送外网邮件。

在这个案例中，设备注册进一步成为网络钓鱼的攻击对象。多因素身份验证可以有效防止攻击者在窃取凭证后，访问组织设备或网络，但未激活多因素验证的组织，攻击者则会在组织网络中畅通无阻。

因此，使用 MFA 成为企业防止数据泄露的基本手段，降低发生安全漏洞的风险，并确保数据安全。在过去，要求静态用户名和密码才能访问账户，似乎足以保证安全性。但是，弱密码或被盗密码作为唯一身份验证形式时，可用于执行欺诈攻击，造成数据泄露。在 2020 年 RSA 安全会议上，微软工程师提到，微软每月追踪到的 99.9% 受感染账户，都没有启用多因素身份验证。

通过对数据安全监管等技术的研究，Authing 提升了针对违法数据流动等安全隐患的监测发现与处理能力，采用全局 MFA 提升整体的安全性。Authing 多因素认证赋能 Authing 应用，即刻提升应用认证与访问安全等级。Authing 可提供包括手机令牌、短信/邮箱验证码、兼容第三方身份验证器、生物识别、图形锁、小程序认证等多种认证方式，提高企业身份安全性。

04 落地实践：Authing 多因素认证

随着移动办公、远程办公的普及，制造业都需要更现代化的 MFA 来管理更为复杂的访问请求。在多因素身份验证提供多层保护的情况下，Authing 自适应多因素身份验证会评估企业用户在请求访问时呈现的风险，查看用户设备和位置等详细信息以了解上下文。让企业间的协作更高效，实现安全高效办公。

Authing 多因素认证核心功能

Authing 遵循 OAuth 2.0、OIDC、SAML、LDAP 等行业标准协议，提供多种认证方式，帮助提升企业业务安全性；认证流程自定义，一键开启，操作简单；支持设备环境数据上报，多维度分析安全级别；支持配置策略，实现环境风险自适应；同时适用于应用内权限控制场景；默认集成于通用登录组件（Guard）；用户数据管理、行为日志查询；提供 SDK 与开放接口，助力开发者快速调用相关能力，并构建自定义的用户管理页面。

多因素认证方式

Authing 提供多种认证方式，提高企业身份安全性。

手机令牌

通过安全性强的动态 OTP 口令验证，帮助保护账户安全，避免恶意攻击。

2. 短信/邮箱验证码

操作简单方便快捷提高登录安全性

3. 兼容第三方身份验证器

兼容第三方身份验证器，包括但不限于：

Google Authenticator Microsoft Authenticator Authy

4. 生物识别

指纹/人脸作为人体特征的关键因素，在安全认证领域被广泛应用。

5. 图形锁

简单易上手；可通过更复杂的图形增强安全性。

6. 小程序认证

将 Authing 移动令牌验证器集成至微信小程序，免去安装 APP 的流程，快捷使用移动端验证器。

Authing 多因素认证的优势

1. 开发者友好

提供开箱即用的端 SDK，方便端上开发者快速实现 MFA。支持多端：Web、iOS、Android；内置多种多因素认证端组件，如 OTP、验证码、指纹解锁、面部识别、图形锁等；仅需调用一个方法，就可唤起 MFA 认证组件，拿到认证结果，完成认证流程。

2. 定制数据上报

定制数据上报，参与流程发起决策，覆盖更加复杂精细化场景。

支持在 Authing SDK 初始化时数据上报；支持定时数据上报；支持应用运行时主动数据上报；

3. 基于策略

多因素认证的触发条件基于自定义策略，策略系统简单、高效、完备、灵活。

简单：不想配复杂的策略，可以使用默认安全策略或预设好的命中条件；高效：毫秒级判断策略命中，多因素认证即刻唤起；基于有好的用户界面；完备：策略基于函数表达式描述，开发者可以获取到足够多的信息（包括但不限于用户信息、设备、网络、位置、行为、自定义上报数据等）来书写策略命中逻辑；灵活：可同时基于多种方式进行命中判断。

4. 配置简单

基于友好的用户界面，快速配置具体应用的多因素认证。

一键开启/关闭多因素认证；一键启用默认安全策略，不必理解策略配置，也能使应用安全性得到很大提高；预设十几种重要且常用的策略命中条件，即选即生效，不是工程师也能使用。