莫名其妙多了好多陌生員工:一場(chǎng)差點(diǎn)被灰產(chǎn)侵入私域的事件

0 評(píng)論 2205 瀏覽 1 收藏 8 分鐘

文章分享了一起快消品牌私域運(yùn)營(yíng)遭灰產(chǎn)入侵的事件,詐騙分子通過(guò)騙取管理員驗(yàn)證碼潛入企業(yè)架構(gòu),添加陌生員工并設(shè)置管理員權(quán)限。文章分析了灰產(chǎn)團(tuán)隊(duì)的操作步驟及目的,提醒企業(yè)需提高安全意識(shí),加強(qiáng)審核機(jī)制,定期檢查后臺(tái)設(shè)置與登錄記錄,確保私域運(yùn)營(yíng)安全。

關(guān)于私域運(yùn)營(yíng)安全的警示,再多也不為過(guò)。最近,就有一家快消品牌的私域團(tuán)隊(duì),在見(jiàn)實(shí)行業(yè)群內(nèi)分享了一個(gè)他們?cè)庥龅摹⒉铧c(diǎn)釀成大事故的安全事件。

事情要從一個(gè)店員求助開(kāi)始說(shuō)起。

有一天,有同事通過(guò)企業(yè)微信聯(lián)系,說(shuō)遇見(jiàn)一個(gè)問(wèn)題,需要管理員釋放對(duì)應(yīng)權(quán)限才可以調(diào)整。

所以,該快消品牌企微管理員迅速按照操作步驟掃碼,并把驗(yàn)證碼發(fā)給了店員。

然而,三天后,這位管理員卻發(fā)現(xiàn),架構(gòu)里多了莫名的人,細(xì)查后發(fā)現(xiàn):

“店員根本沒(méi)發(fā)過(guò)這個(gè)信息,即便有官方客服的截圖,也可能是騙局。”

而詐騙分子就這樣騙取管理員驗(yàn)證碼后,以最高權(quán)限登錄后臺(tái)并進(jìn)行了如下操作:

  • 在架構(gòu)里設(shè)立幾個(gè)分組,在分組里拉進(jìn)新的人;
  • 隱藏新建分組和新拉成員;
  • 把灰產(chǎn)團(tuán)隊(duì)成員設(shè)置成管理員,方便下次直接登錄繼續(xù)偷偷拉新人。

“我當(dāng)時(shí)就驚出了一身冷汗?!?/p>

馬上封禁所有可疑賬號(hào)后,這位管理員對(duì)詐騙分子的目的和動(dòng)機(jī)也感到了深深的不解。更為緊迫的是,除了封禁賬號(hào),怎么做才能全面地排查隱患?

隨后,他把這一段經(jīng)歷分享在了見(jiàn)實(shí)社群里。有同行表示,這其實(shí)并不是個(gè)例,早在幾年前就有好幾家大牌企業(yè)有過(guò)同樣的遭遇。

這些灰產(chǎn)團(tuán)隊(duì)的后續(xù)操作步驟大致如下:進(jìn)入品牌架構(gòu)后,利用企業(yè)微信賬號(hào)與個(gè)人賬號(hào)形成關(guān)系背書(shū),或發(fā)詐騙廣告,或拉品牌客戶進(jìn)群并通過(guò)在群內(nèi)發(fā)紅包、二維碼等方式引流至灰產(chǎn)私域賬號(hào)或下載APP。

若客戶在更大紅包的吸引下選擇下載APP,將會(huì)被要求授權(quán)最高權(quán)限,灰產(chǎn)團(tuán)隊(duì)也借此獲取手機(jī)通訊錄等信息甚至遠(yuǎn)程控制客戶手機(jī),后續(xù)可能進(jìn)行刷單賺錢(qián)、收會(huì)員費(fèi)、忽悠轉(zhuǎn)賬等詐騙行為。

甚至冒充企業(yè)領(lǐng)導(dǎo),利用企業(yè)微信的內(nèi)部溝通機(jī)制,向財(cái)務(wù)人員發(fā)送轉(zhuǎn)賬指令。

在這整個(gè)過(guò)程中,灰產(chǎn)團(tuán)隊(duì)在利用企業(yè)認(rèn)證賬號(hào)及大品牌背書(shū)降低用戶警惕性的同時(shí),也能減少舉報(bào)風(fēng)險(xiǎn),無(wú)需承擔(dān)責(zé)任。

這也與去年一位操盤(pán)手朋友因遠(yuǎn)程控制電腦辦公導(dǎo)致被灰產(chǎn)團(tuán)隊(duì)夜間操控批量拉好友進(jìn)灰產(chǎn)群的后續(xù)詐騙鏈路幾乎一致(延展閱讀:當(dāng)心!有人盯上了你的私域)。

回顧事件始末,主要有以下這兩大需要注意的地方:

第一:能登錄同事企微的不一定是他本人。

根據(jù)后續(xù)排查,被登錄企微的店員毫無(wú)察覺(jué),甚至不知道有這件事。事前,手機(jī)并未離手,也沒(méi)有在其他地方登錄,找不到聯(lián)系管理員掃碼驗(yàn)證的聊天記錄。

并且因?yàn)槿渴瞧笪①~號(hào),該公司明確禁止用第三方軟件清理好友,所以推測(cè)可能通過(guò)技術(shù)手段,如釣魚(yú)軟件、鍵盤(pán)記錄器、遠(yuǎn)程操控、爆破攻擊等,獲取了登錄憑證。但因沒(méi)有監(jiān)控軟件,登錄ip地址難以查詢。

而灰產(chǎn)團(tuán)隊(duì)登錄企微后臺(tái)之后,往往會(huì)通過(guò)通訊錄——?jiǎng)?chuàng)建人精準(zhǔn)定位到管理員,從而進(jìn)行上述操作。

所以,如管理員被索要驗(yàn)證碼需謹(jǐn)慎,尤其注意驗(yàn)證對(duì)方身份。一定要線下面對(duì)面,或通過(guò)公司內(nèi)部郵箱、內(nèi)部通訊錄留存的座機(jī)或手機(jī)、公司內(nèi)部工作群內(nèi)的微信,進(jìn)行多種方式的確認(rèn)。

如果不幸遇到這種情況,除封禁所有隱藏的外部賬號(hào)之外,也建議全面檢查后臺(tái)設(shè)置、重裝系統(tǒng)。

一位有過(guò)同樣遭遇的業(yè)內(nèi)人士就表示,這很有可能是電腦被黑所導(dǎo)致的,建議在電腦上安放向日葵(非安裝),全面監(jiān)察進(jìn)程。

第二:開(kāi)啟審核并不是萬(wàn)無(wú)一失的。

值得留意的另一點(diǎn)是,設(shè)置企微新成員加入審核只是第一道防線。正如這次事件中,詐騙分子騙取了超級(jí)管理員權(quán)限后,給自己悄悄升級(jí)為管理員,就繞過(guò)了這一機(jī)制。此外,管理員權(quán)限的過(guò)度集中,也讓騙子一旦得手,就能掌控整個(gè)企業(yè)架構(gòu)。

當(dāng)然,如果企微主體的管理員沒(méi)開(kāi)審核,外部人員只要申請(qǐng)就可以添加并騙取管理員權(quán)限,再輔之以專(zhuān)門(mén)針對(duì)企業(yè)微信的惡意軟件,就能偷用主體發(fā)詐騙廣告、復(fù)制客戶信息、偷拉客戶群。這些軟件大多在黑市上流通,讓人防不勝防。

那如果在架構(gòu)里發(fā)現(xiàn)了可疑的陌生賬號(hào)該怎么做呢?小編問(wèn)了下AI,給出了這些建議(僅供參考):

第一時(shí)間在企業(yè)微信后臺(tái)進(jìn)行封禁,并導(dǎo)出賬號(hào)列表,逐一核查身份。對(duì)于權(quán)限異常的賬號(hào),即使是內(nèi)部員工,也要重新驗(yàn)證身份后再恢復(fù)權(quán)限;

梳理權(quán)限架構(gòu):重新規(guī)劃管理員權(quán)限,實(shí)行分級(jí)管理,避免權(quán)限過(guò)度集中;

檢查登錄記錄,在企業(yè)微信管理后臺(tái),查看最近一周的登錄 IP 和設(shè)備信息,對(duì)異常登錄地點(diǎn)進(jìn)行標(biāo)記,必要時(shí)聯(lián)系企微官方進(jìn)行核查;

全面掃描設(shè)備,組織技術(shù)人員對(duì)員工的電腦、手機(jī)進(jìn)行安全掃描,檢查是否安裝了惡意軟件、遠(yuǎn)程控制程序。

本文由人人都是產(chǎn)品經(jīng)理作者【見(jiàn)實(shí)】,微信公眾號(hào):【見(jiàn)實(shí)】,原創(chuàng)/授權(quán) 發(fā)布于人人都是產(chǎn)品經(jīng)理,未經(jīng)許可,禁止轉(zhuǎn)載。

題圖來(lái)自Unsplash,基于 CC0 協(xié)議。

更多精彩內(nèi)容,請(qǐng)關(guān)注人人都是產(chǎn)品經(jīng)理微信公眾號(hào)或下載App
見(jiàn)實(shí)
見(jiàn)識(shí)他人經(jīng)驗(yàn),提高自己實(shí)力
26篇作品 66621總閱讀量
05-253029 瀏覽
微信的大動(dòng)作,為了什么?
12-0646704 瀏覽
產(chǎn)品經(jīng)理如何寫(xiě)好產(chǎn)品需求文檔(附模板)
01-299186 瀏覽
“租個(gè)手機(jī)回家過(guò)年”,我后悔了
06-192786 瀏覽
蘋(píng)果發(fā)布3D版FaceTime,元宇宙究竟需要怎樣的會(huì)議軟件?
09-222567 瀏覽
連續(xù)三年增長(zhǎng),揭開(kāi)蘋(píng)果超高NPS的背后秘密
評(píng)論
評(píng)論請(qǐng)登錄
  1. 目前還沒(méi)評(píng)論,等你發(fā)揮!