可疑账号是指由于企业管理不善,导致坏人进入组织架构的账号;或成员安全意识薄弱,被坏人盗用的账号。当企业通讯录存在可疑账号时,企业的信息可能会泄露、成员和客户可能会受到欺诈。情节严重的,企业及管理员还要承担法律责任。
● 企业允许成员邀请他人账号加入通讯录,但有的成员可能误邀请身份不明的外部人员进入企业,构成安全隐患。
● 企业开发了对外开放的小程序/网页,成员填写信息后,企业验证通过后调用api将成员加入企业组织架构。但身份验证机制太过简单或存在漏洞,被不法分子混入。例如 ,输入姓名、手机号、工号等就能加入企业。
● 不法分子穿着工作服进到企业办公场所,声称是某某企业做“地推”、给某某地图做标注,需要借用员工手机操作,迷惑性极强。其实是为了获取用户的手机号、验证码,完成新设备验证登录企业微信。
● 在高校、公司、地铁等人流密集场所,不法分子打着“做任务”、“送礼物”等幌子,让用户扫描来路不明的二维码,目的是盗取成员账号。用户扫码,会授权对方登录自己的企微账号。
● 不法分子通过伪造聊天记录等方式,比如,假称自己工作台出现异常,需要“超级管理员”为其为其扫码辅助、或开通“管理员”权限等。管理员未对可疑成员身份进行核实,扫码授权并将管理端登陆短信验证码告知不法分子,导致超管账号被不法分子盗用,企业管理端后台被不法分子登陆。
当企业存在可疑成员时,企业微信安全团队会封禁或禁用这些账号,并下发安全提醒给企业超级管理员。当您收到这些提醒,需要尽快对可疑账号进行排查。
● 针对已被平台识别并封禁的可疑账号,可在【管理后台->安全与管理->管理工具->使用分析->成员操作记录】筛选操作类型为“封禁登录”的记录查看被封禁账号
● 针对已被平台识别并禁用的可疑账号,可在【管理后台->通讯录->组织架构】 筛选“已禁用”成员
管理员可在【管理后台->安全与管理->管理工具->使用分析->成员操作记录】筛选操作类型为“新设备登陆”、“副设备登陆”、“锁定设备”的记录,排查成员是否在新设备登录、账号是否被盗用。
企业超级管理员收到企业微信团队下发的可疑账号通知后,应及时核验该账号是否为本企业成员在使用。如确认账号有问题,应立即禁用或删除该账号。同时排查该账号的进入组织架构的渠道,及其邀请者、审批的管理员、修改信息的操作人是否存在安全风险。并收回企业非必要、不相关的管理员权限。
● 排查可疑账号进入组织架构的渠道
确定可疑账号是被同事邀请、管理员导入还是API导入,排查相应的渠道是否存在问题。
如果是同事邀请,需要确认‘加入企业需管理员审核’选项是否打开,并确认邀请的成员是否有风险;
如果是管理员导入,需要排查相应的管理员是否有风险;
如果是API导入,需要排查通讯录API权限是否已泄露,或使用API的系统是否已被攻破;
● 排查企业内存在风险的管理员
可疑账号的邀请者、审批的管理员、修改信息的操作人,都要核实是否为企业真实管理员
并排查这些管理员近期管理端的操作是否为本人所为,回退其有风险的操作
● 重新核对企微组织架构与企业HR系统的一致性,清理不符合预期的人员
坏人掌控企业账号的目的是为了获利。获利的渠道可能有:
● 获取企业机密信息,出售或要挟以获利;
● 向企业的同事或客户发欺诈信息(如国家补贴),骗同事或客户转账以获利;
● 以企业的身份为背书,让受害者加好友实施诈骗以获利;
不怕贼偷,就怕贼惦记。加强进入企业通讯录的验证、阻断坏人用于获利的渠道,企业被坏人利用的价值就会降低,企业的安全就能得到保障。
管理端开启成员加入企业管理员审批;开通路径:【管理后台->我的企业->申请加入设置】。
成员加入申请及审批路径:【管理后台->安全与管理->管理工具->成员加入】
● 定期摸查“API管理通讯录”的记录,确保所有行为符合预期。否则建议定期重置secretkey,设置路径:【管理后台->应用管理->自建应用->编辑->重新获取】。
● 为确保企业通讯录安全,通过API新增成员时,必须严格进行身份校验。近期发现部分企业因未执行有效校验,导致通讯录被恶意账号入侵,造成严重安全风险。请务必采取以下措施,确认无误后方可写入通讯录:
○ 手机号实名认证;
○ 活体检测或人脸识别;
○ 结合企业HR系统进行员工身份核验;
其中包括并不限于下列场景的权限管控
(1)企业通讯录查看权限
设置路径:【管理后台->通讯录->通讯录管理】。
(2)外部沟通权限管理
只给需要的成员使用(如果默认不设置 则全员都有外部沟通权限)。
设置路径:【管理后台->我的企业->外部沟通管理】。
(3)按需配置客户联系权限
设置路径:【管理后台->客户与上下游->客户联系->权限配置】。
(4)微信客服使用权限
摸查“微信客服”使用情况,删除不符合预期的客服账号,按需分配微信客服使用权限,如企业未实际使用“微信客服”,建议关闭相关功能。
(5)上下游使用权限
摸查企业上下游功能使用情况, 按需分配企业成员使用创建、加入上下游权限。
● 管理员收到协助解除“异常状态”请求时,先核实成员身份,勿轻易扫码、点击风险链接以及提供短信验证码。
● 当不法分子穿着工作服进到企业办公场所、零售门店,声称做活动推广、给某某地图做标注,需要借用员工手机操作,或需要成员帮忙完成扫码,人脸识别等验证时,请勿辅助不法分子完成上述验证,导致成员账号被盗。