随着生活的数字化程度越来越高，完成各种业务和服务变得前所未有的便捷。只需轻轻一点手机屏幕，人们办事儿变得飞快又方便。然而，正当人们享受这种数字化带来的便捷时，一些不法分子也在暗中伺机而动，利用各种手段制造诈骗骗局，试图从中牟利。

说到这儿，不知道大家有没有收过这样的邮件，说是给我们发社保补贴、劳动补贴之类的？声称只需扫一扫二维码就能轻松领钱？看到能领钱，心里那个乐呵啊，但这年头，天上不会掉馅饼，得睁大眼睛看清楚，别一不小心掉进陷阱里。

" 联环钓鱼 " 是一种新兴的补贴诈骗邮件趋势，这种攻击手法通常涉及到账号盗用。攻击者首先通过各种手段盗取一个组织内部某个人的邮箱账号，然后利用这一账号向同一域名下的其他邮箱发送诈骗邮件。

这些邮件看似来自组织内部的可信来源，员工对来自同域名邮件的警惕性相对较低，这使得 " 联环钓鱼 " 攻击尤为危险。

事实上，自 2021 年开始，补贴诈骗钓鱼就一直是危害最大的以资金窃取为目的的钓鱼邮件。到了 2023 年，这种补贴诈骗的攻击手法开始多样化，既有大范围的撒网式钓鱼，又有利用盗取账号域内发送的方式；钓鱼文本和二维码也有图片、附件文档等多种形式。

据 Coremail 邮件安全人工智能实验室监测发现，利用盗取账号域内发送的方式，由于同域邮件可信度高，用户容易信以为真。这使其成为了 2023 年造成资金损失事件数量最多的钓鱼攻击模式。

您的账号 *** 异常提醒！

以一个具体案例为例，攻击者会先发送一个钓鱼邮件给目标，邮件标题通常很紧急，标题为 " 您的账号 *** 异常提醒！"

邮件正文链接指向钓鱼网站 https://www.nametopx.com/

这种标题很容易引起人的注意和紧张，让人在紧张和焦虑中忽略了验证邮件真伪的步骤，进而跟随邮件中的指示行动，最终落入骗子设下的陷阱。

骗取用户邮箱账号和密码后，攻击者登录受害者邮箱，通过组织通讯录，向域内用户批量发送财务诈骗邮件，标题为 "2023 第三季度个人劳动补贴申领通知 "。攻击者还会把盗取的账号名称改为财务部，以此加强钓鱼邮件可信度。

如案例所示，骗子会冒充公司财务部，通过发送带有二维码的邮件，诱导员工或公众人士进行所谓的 " 扫码认证领取 "。然而，这些二维码往往链接到恶意网站，目的是为了窃取你的个人信息和财务信息。

一旦你按照邮件中的指示操作，扫描二维码后会进入仿冒的国家人社部网站，输入银行卡号、身份证号、手机号、姓名和短信验证码，你的银行账户很可能会遭到非法访问，你辛苦赚来的钱财也可能瞬间蒸发。

现在的骗子越来越狡猾，他们不仅仅是发个邮件、发个短信那么简单。有的还真是下了一番苦功夫，为了让骗局看起来更真，竟然假冒成官方的网站，比如人社部的网站。

想象一下，你打开了一个看起来官方极了的网站，页面设计、字体使用、甚至每一个按钮的布局都跟真的一模一样。然后，突然间，一个飘窗跳了出来，看起来就像是官方的一个通知，诱导你点击进去。

一旦你按图索骥，点击了那个飘窗，接下来的情节你可能都能猜到——页面会要求你填写一些个人信息，比如姓名、身份证号码、银行账户信息等等。这时候，你可能还在想：" 哇，这官方网站做得还挺人性化的，连补贴都能在线申请了。" 但是，停一停，想一想，真的官方机构会这么轻易就让你在网上填这么敏感的信息吗？这背后隐藏的风险你能接受吗？

1、诈骗手法：

1.   邮件主题 Re:   2023 年第三季度个人劳动补贴申领通知

2.   附件：2023 人社部第三季度个人劳动补贴登统计相关补充材料 .docx

3.   联环钓鱼 -- 补贴诈骗邮件新趋势：通常结合盗号，向同域名其他邮箱发送；通过二维码引导进入仿冒的人社部网站，骗取银行卡信息

2、防护建议：

面对日益猖獗的补贴诈骗钓鱼邮件，采取有效的防护措施至关重要。

01. 网关识别和拦截

首先，像 Coremail 邮件安全网关这样的工具已经具备了强大的拦截能力，能够有效识别并阻挡补贴钓鱼诈骗邮件。邮件安全网关的域内互发邮件检测功能能够针对那些来自同一组织内部的诈骗邮件提供额外的保护层，这对于防范利用盗取账号进行的内部钓鱼攻击尤为有效。

02. 加强账号安全

其次，通过实施双因子认证和使用客户端专用口令，可以大大增强账号的安全性。这些措施为账号安全提供了双重保障，即使在账号信息被盗取的情况下，也能有效防止未经授权的访问。

03. 提升安全意识

最后，加强安全意识培训是防范钓鱼攻击的关键。通过定期向员工展示和讲解典型的钓鱼邮件案例，可以帮助员工建立起基本的安全防范意识。此外，利用像 CACTER CAC2.0 这样的威胁情报订阅服务，可以让组织和员工及时了解最新的钓鱼攻击手法和防范策略，从而更好地保护自己不受网络骗局的侵害。

以后再面对这样的钓鱼诈骗邮件，请立即删除邮件，并且不要尝试扫描其中的任何二维码。如果收到的信息看起来来自你的工作单位或其他可信机构，但你对其真实性感到怀疑，最好的做法是直接联系单位确认信息的真伪，保持警惕，用智慧和谨慎保护好自己的数字生活，不给骗子留下任何可乘之机。

年度典型案例

以上案例源自《2023 中国企业邮箱安全性研究报告》。报告记录了 6 个年度典型案例，更多年度典型案例，请至网站下载《2023 中国企业邮箱安全性研究报告》进行查看。