续上一次，公司被香港诈骗团伙设套。最近又开始来搞事情。事件前提：
所在公司是外贸企业，公司邮箱一直是通过网易服务端跟客户进行往来。客户的邮箱有些是gmail有些是Hotmail，目前涉事客户一家是JV公司一家是早前的客户，也没有注册独立的邮箱地址。

pz团伙：
一家来自香港的公司，通过黑入客户的邮箱给我们发邮件，或者冒充客户的邮箱，比如说客户的邮箱是importkankanni@Hotmail.com，pz的套路就是inportkakanmi@hotmail.com。然后通过这个邮箱来给我们发邮件，如果疏忽回复了这个邮件，那么基本上就被骗子知道了整个公司的情况，而且这个邮箱会在日常的来往邮件中继续流通，知道被发现为止。pz注册了一个跟我们公司后缀只差一个字母的email地址，基本上公司里面大部分的邮箱对应的人的情况都被pz掌握。在一次付款的过程中，通过假冒我们公司的一个角色，更改付款信息，并让客户付款。最近公司有一笔钱又被pz给弄过去了，跟上一次的套路一模一样。

其实pz的套路是简单的，就是冒充邮箱，然后基于你的疏忽而获得信息。不过上次公司请了网络安全的公司人来诊断，说是公司的邮件还被pz监控了？详细的也不是很清楚，这个事情我也不用参与，不过看着总觉得不爽啊。

网络安全管理培训：
这周公司来了个网络安全的培训人员，告知我们改密码，装杀毒软件，扯了一大堆，我都听睡着了。最后老板着急了，说了大半天我没听到真正解决问题的办法。

想请教一下这方面的专业人士，或者遇到过这个情况的朋友，给点建议！！！咱也是好奇，这解决起来有这么难吗

有内鬼。

根据你的描述情况，已经被搞了一次，现在来搞第二次，肯定是你公司邮件或者电脑被监控了，建议排查贵司所有电脑服务器是否被中马，邮件是否被设置邮件转发之类的。外贸类诈骗一直比较活跃，这种案子发生了很难破案

1、hotmail的安全性很好的。服务端和传输不会有问题
2、检查相关人的pc。是否有木马或者病毒
3、改相关人的邮箱密码
4、

改密码，检查转发。这种只有自己注意安全，外贸就是这样，这个月我司也差点发生一起。还好我们是有独立域名的。不过就是这样也要注意安全，这种东西想一刀解决是不可能的。就要靠自己预防和小心。这种就是典型的外贸诈骗了。

这个不应该请培训人员~
应该请安服人员~
看lz所在地请头部的安服人员过去做个排查~
几万块钱解决~
安全意识在这个时候是治标不治本~

网易邮箱各种不安装，居然拿来当企业邮箱，你们老板是不是不舍得花钱

我还听说过 一个特别传奇的 也是搞外贸的 居然能够截取邮件 把邮件里头的汇款账户给改了

想到了非对称加密，数子证书
也是比较麻烦

跟技术没啥关系吧？

我觉得关注一下交易流程比较好

你们日常交易的账号变来变去？不需要二次确认？

大宗金额交易在出事之后难道不需要加深沟通确认流程吗？
而且之前出事之后，对方付款公司的安全员应该也有责任吧，涉及金融支付，付款公司也太不走心了

最后补充一句：冒充邮箱这事儿其实不需要黑你们的邮箱，让你们收到的邮件看起来是某个人发的这个真的不难。

金钱交易 流程变更等 请电话等二次确认
邮件诈骗的方式很多 ，邮件头也是可以欺骗的 想改什么改什么

前期工作挺多啊，一次骗多少钱啊？

它是不是能进入你们内网，比如wifi 进来，那你们局域网电脑肯定就有被控制的。

迁移到Microsoft 365吧

几年前碰到过类似的，不过还好客户那边比较警觉，看到账户变化，直接电话过来确认了

当时有查到对方注册的香港公司，深圳平安银行的账号，域名相关的信息
下面是当时整理的应对措施，不过除了改密码，和提高警觉，其他也没什么用，
报警时，JCss问有实际损失吗，没有？那就... 没后文了
================
应对处理
对内
通知使用公司邮箱的人请注意定期修改邮箱密码，并不要使用简单密码，请使用大小写+符号+数字的9位以上的复杂密码，并妥善保管好自己的密码信息，推荐使用Keepass软件来管理；
通知其他外贸客户注意警示：请他们收到银行账户变更或其他重要变更事宜时一定要谨慎对待，近期一定要注意区分邮件后缀是；
通知对外部门注意防范类似骗局；

对外联系所有业务往来客户，涉及到账号，款项相关变更时，一定会多渠道交叉通知。
向110、工商或其他相关部门报警 （12321.cn、12377.cn、cyberpolice.cn或其他）；
向平安银行举报（95511-3），申请冻结骗子银行账号；
联系域名商enom.com客服，看能否直接停用掉骗子域名；

关于密码
重要场合，一定不要使用简单密码，并建议定期更改密码。
场合包括但不限于：涉及到钱有关的账号密码，如公司邮箱，银行账号，微信、支付宝等第三方支付账号及其关联的个人邮箱，注册了苹果手机的Apple ID，其他，一定要注意不要一个密码走天下的，不同类型的账号尽量对应不同的密码；
简单密码：如：生日，名片上所留的固定电话或手机号，123456,12345678,...，888888，666666，abcd1234

建议使用专门的密码管理软件，随机生成复杂密码
推荐几个知名的多平台密码管理软件：Keepass（开源+免费），1Password，LastPass

时刻保持警醒
约定的时间内没有得到相应回应时，我们需要主动跟进；
对于来历不明的邮件、附件、内容中的链接，不要轻易点击，可能存在木马病毒之类；（如标题写着：购销合同）
遇到打开链接后需要输入账号，密码的，请务必保持谨慎，首先看看地址栏上显示的域名是否是正规网站的域名，注意甄别真假李逵，可能是钓鱼网站想套取你的账号密码；

参阅：苹果官方的实例说明：识别欺诈性“钓鱼”电子邮件:https://support.apple.com/zh-cn/HT204759

回复4#闪电小子


是的，现在邮件确实是被对方监控着，已经不是简单的诈骗了。对方还能截住我们的邮件或者客户的邮件。目前已经让JV公司注册一个独立的email address。不过公司内的人还是没有非常紧张起来，只有网络管理员在联系处理，今天PZ还发了两封邮件给公司的一个新手。我感觉付款流程上进行优化，财务风险管理也得跟上。

回复5#cwnd


你说的跟网络安全公司的专家基本一致啊

回复10#cyberkiller


之前服务器还被黑过，好多文件被锁了

买win全家桶的服务吧，换企业版win，设置域策略，开高级安全支持和defender atp

简单粗暴一把梭HiPDA·NG

办事人员的安全意识要提高，加强安全培训。

回复11#iorlkyok


我想的和你一样，流程上是一定要优化的。不过这次客户是被骗子冒充的财务人员给忽悠了，我们的邮件下面现在都会提醒ANY CHANGE OF COMPANY BANK INFORMATION IS SUBJECT TO OUROFFICIAL CONFIRMATION IN WRITTEN

回复13#jerryleeee


这个还可以远程从WiFi进来
两次金额换成人民币有7位数，不过第一次的已经追回来了

这个基本无解，不要想从技术层面一劳永逸，要不停的增强安全意识教育

流程也要跟上，比如付款，改变账号的行为，要加上电话确认环节

因为你的合作伙伴，供应商，客户，都可能被黑掉。

回复14#怪蜀黍阿利


估计够呛，现在还没有完全通知到其他客户，加微信也好还是其他也好，其实还是电话沟通最好，不过电话也会被虚拟吧

回复22#粗鲁的猫


这种在安全领域有几个关键字 钓鱼 钓鲸鱼 社会工程学等，安全领域对这个有一整套的方案，但是一般不建议完全照搬，具体情况具体讨论。
他着重的就是骗那些平时没有安全意识的人，一方面加强安全培训，另一方面责任到人，金额一旦出错，要么离职要么赔偿，这样才会上心。当然也不能全甩锅给具体的执行人员，公司相关安全人员要总结出骗子的可能手段，加以培训，培训过了再犯错和没有培训犯错分开处理。

一般破解这种骗子很常见的手段，就是要求回执。我要求在关键数据比如交易数据确认的时候对方出具回执。这个回执不能从新渠道获取，必须从一开始就协商好的安全渠道确认对方是否是本人。如果安全渠道出了问题，沟通不畅，取消交易。

另外怎么确保这个一开始就协商好的安全渠道可靠，那就又是另外一个话题了

你就这点信息。没啥可分析的，就这点建议。

肯定是内部信息被窃取了，然后伪造钓鱼。内部信息要不被黑、要不内部作案。思路就这些

增加人的因数，比如付款前通过电话、语音的，和联系人进行确认，开辟邮件之外的确认链路。
技术上，整个邮件安全网关，把所有合格的联系人邮件地址放进去。

回复16#xxlazy

先感谢兄弟你的回复，内容非常详细清楚！
BJ都是从银行汇款方和接收方当地报警才行，咱们本地的JCSS基本不管，也不会管，最多也就是找熟人给你点建议。
我们第一次的时候，是派公司财务和另外一个同事扮演受害公司的人一起去hongkong，这样的BJ才有效。

是的，我们公司现在是迁移过来了，我们邮件系统还有拦截过滤。
电脑全部域控制， 权限比较低。供应商很多代发的邮箱直接会被过滤掉

回复27#cwnd


已经查清楚的就是公司邮件都是赤裸裸的被监控着，pz还可以截留邮件。估计还是得所有的电脑再深度的杀毒杀一次

不是杀毒，重新安装系统