搜狐员工遭工资补助诈骗背后：盗贼冒充财务部发邮件，损失少于5万元

一家老牌互联网公司，搜狐失少同时也是员工于万元国内较早的邮件服务提供商，多名员工却遭遇邮件诈骗数万元，遭工资补助诈贼冒近日“搜狐员工遭工资补助诈骗”引发业界热议，骗背冲上微博热搜第一。后盗

5月25日，充财搜狐公司董事局主席兼CEO张朝阳终于对外回应此事，发邮称“事情不像大家想象那么严重。搜狐失少搜狐一个员工的员工于万元内部邮箱密码被盗，盗贼冒充财务部发信给员工，遭工资补助诈贼冒发现后技术部门紧急处理，骗背资金损失总额少于5万元。后盗不涉及对公共服务的充财个人邮箱。”

一位网络安全专家告诉第一财经记者，发邮搜狐的搜狐失少遭遇其实不是孤例，同样操作手法的诈骗案多次出现，已有多个互联网公司中招。而搜狐的案例很有可能是一起典型的OA钓鱼攻击事件，而问题的原因不仅仅是员工意识淡薄，企业IT系统的弱点也因此暴露。

工资卡余额不翼而飞背后

此前，一份微信群聊记录，搜狐全体员工在5月18日早晨收到一封来自搜狐财务部名为《5月份员工工资补助通知》的邮件。这封邮件的发件地址为sohutv-legal@sohu-inc.com，属于搜狐内部域名，且公司日常报销也确实需要提供账号，一些搜狐员工因此点击进去，并按要求填写了银行账号等信息。

但员工非但没有等来补助，工资卡内的余额也被划走。

第一财经记者向多名搜狐内部员工确认了上述诈骗邮件，并有员工对记者表示，“因为看到是内部邮箱所以确实放松了警惕。”

聊天记录显示，事后搜狐迅速采取了行动，包括立刻删除了相关邮件，并由相关部门出面，汇总遭遇诈骗员工的信息并到派出所报案。

搜狐的遭遇并非孤立。今年2月时，就有员工爆料称B站内部邮件存在钓鱼链接，致使员工财产受损。

从技术角度来看，这一邮件诈骗是如何发生的？

行业安全研究中心主任裴智勇对第一财经表示，邮件攻击是针对企业最简单，但也最有效、最具迷惑性的攻击方法。2016年的希拉里邮件门事件甚至改变了整个世界的格局。而起因也仅仅是因为希拉里竞选团队的成员打开了一封仿冒谷歌官方的钓鱼邮件。

他称，搜狐的案例很有可能是一起典型的OA钓鱼攻击事件。通常情况下，这种攻击的过程大致是这样的：攻击者首先盗取或恶意注册了一个公司内部邮箱，之后再用这个邮箱发邮件给其他员工，诱骗其在钓鱼网站（仿冒的公司邮件登陆页面）上输入账号和密码，从而骗取邮箱密码，攻击者盗取内部邮箱账号的过程，很有可能也是通过另一封钓鱼邮件完成的。

裴智勇称，电子邮件是最早网络通信方式，设计之初并没有任何安全考虑，普通的电子邮件基本都是明文传输，而且没有加密校验的。简单的说，就是邮件被发出之后在传输过程中，不论被谁截获，都能读取和修改原文，而且如果邮件被人中途截获、修改，邮件的接收者是无法校验邮件是否被修改过的。所以有些软件可以把发出邮件的正文截下来，修改之后再发出去。

不过，现在大型邮件服务商都设置了很多安全机制，比如，收邮件的服务系统可以向发邮件的服务系统发出一些验证信息，以确认邮箱或邮件来源是否可信。不过很多企业都出于各种原因，没有开启类似的校验功能。但邮件报文明文传输的本质是其容易被篡改的根本原因。

此外，还有一种简单的方式可以实现换邮箱的效果。即使用邮件代理。软件会先把邮件截下来发送到某个受控邮箱，再由受控邮箱把邮件正文截下来，之后把邮件转发给原定的收件人。这样，收件人看到的发件人就是代理邮箱或中转邮箱发出的邮件，而不是原始邮箱，从而使原始的发件邮箱被隐藏。

如何防范类似风险？

搜狐员工遭遇邮件诈骗一事，暴露出企业在安全方面的漏洞。一位网络安全专家对第一财经记者分析，问题不仅仅出在员工安全意识淡薄，IT系统的弱点也暴露了，假定企业部署零信任系统，攻击者就不能简单窃取极个别员工ID后假冒身份群发邮件。

他还提到，需要注意的是，钓鱼网站攻击不仅仅可以骗取员工钱财，如果把docx钓鱼网址换成勒索病毒，麻烦更大，特别现在是疫情期间，员工只能居家办公，没有IT部门支持，大面积的勒索攻击恢复系统的活可能都没人干。因此无论企业还是员工都应提高警惕。

对于企业和员工而言，应该如何防范类似的风险？

裴智勇表示，首先，企业应该部署邮件安全系统或邮件威胁识别系统。本次事件关联的企业，本身也是国内领先的邮件服务商，此类系统可能也是健全的。只不过，钓鱼邮件本身确实很难识别难免会有漏网之鱼。而且，类似的攻击事件，类似的成功攻击的事件，实际上是经常发生的。每年被盗的各类邮箱账号数以百万计，这都是安全管理疏忽的表现。而员工被钓鱼邮件所骗，也是自身安全意识不足的体现。

为了防范此类攻击，企业不仅需要部署邮件安全系统，同时还要经常进行员工安全意识教育，进行各类实战攻防演习。同时，企业邮箱系统需要开启强制弱口令检测，强制定期改密码，以最大限度的减轻邮箱盗号风险。

(责任编辑：百科)