5月25日，#搜狐全體員工遭遇工資補助詐騙#衝上微博熱搜第一。

一份流傳網絡的聊天記錄顯示，搜狐全體員工在5月18日早晨收到一封來自“搜狐財務部”名爲《5月份員工工資補助通知》的郵件。聊天記錄稱，不少員工受騙，工資卡餘額被划走。據澎湃新聞記者向多位搜狐內部員工確認，確實收到了上述詐騙郵件。

當天，搜狐通過官方微博回應稱，經調查，某員工使用郵件時被意外釣魚導致密碼泄露，進而被冒充財務部盜發郵件。事發後，公司IT及安全部門第一時間做了緊急處理，並向公安機關報案。據統計，共有24名員工被騙取四萬餘元人民幣。 

澎湃新聞記者採訪多位業內專家發現，類似的“工資補貼”郵件是一種常見的釣魚詐騙，操作起來幾乎沒有技術難度。另外，在電商平臺上也能輕易購買到此類服務，盜用他人信息發送虛假郵件，已成爲一條隱蔽的黑灰產業鏈。

同時，根據記者的不完全統計，今年以來，國家各地有關部門已經就警惕“補貼騙局”多次發出公告，數量超過50條。

爲何大廠屢遭“互聯網詐騙”？專家：技術沒門檻，防範有難度

5月25日中午，搜狐CEO張朝陽第一時間發微博回應“員工遭詐騙”事件。

他提到，背後原因是搜狐某員工的內部郵箱密碼被盜，盜賊冒充財務部發信給員工。公司發現後，技術部門緊急處理，資金損失總額少於5萬元。另外，此次發送詐騙郵件的不涉及對公共服務的個人郵箱。

澎湃新聞記者發現，類似以“工資補貼”爲由頭的詐騙郵件在企業內部並不罕見。今年2月份，B站也曾流傳出“詐騙郵件”的截圖。知情人士向記者透露，該郵件通過羣發形式傳播到全體員工，多位員工受騙，總計受騙金額數萬元。網絡流傳截圖顯示，東風汽車、美的、芒果傳媒等公司紛紛“中槍”，都有員工反映稱收到假冒公司官方的釣魚詐騙郵件。

網傳東風汽車內部收到詐騙郵件截圖

網傳芒果傳媒內部截圖

網傳美的集團內部郵件截圖

“這很有可能是一起典型的OA釣魚攻擊事件。”奇安信行業安全研究中心主任裴智勇告訴記者。

在他看來，通常情況下的攻擊流程大致如下：攻擊者首先盜取或惡意註冊一個公司內部郵箱，之後再用這個郵箱發郵件給其他員工，誘騙其在釣魚網站（仿冒的公司郵件登陸頁面）上輸入賬號和密碼，從而騙取郵箱密碼。“攻擊者盜取內部郵箱賬號的過程，很有可能也是通過另一封釣魚郵件完成的。” 

“電子郵件本身就是一個攻擊成本低，但防護有難度的互聯網服務。”裴智勇表示。“只需要知道內部員工的郵箱地址，就可以通過任意一個電子郵箱發送釣魚或帶毒郵件給受害者，而不需要了解企業的內部系統。” 

“搜狐遇到的詐騙郵件背後其實沒有什麼技術難度。”網絡尖刀安全團隊創始人曲子龍則向澎湃新聞記者坦言。“想要對公司實現類似的攻擊非常容易，幾乎可以想到幾百種方式。” 

不少網友疑惑的是，搜狐作爲提供郵箱服務的專業企業，爲何也會遇到羣發“釣魚”郵件的詐騙事件？

在曲子龍看來，類似的風險要徹底根除，難度極高。“首先是公司內部的重視程度問題，如果公司足夠重視，可以在內部郵箱添加過濾指令，提升風控能力，但是這也很難防範員工個人的信息被釣魚網站獲取。” 

曲子龍提到，由於公司內部工作交流極爲緊密，一旦某員工通過釣魚網站無意間泄露信息，就意味着整個公司的信息都會暴露在黑客眼中。哪怕不用郵箱進行傳播，也有可能通過手機、微信等形式進行傳播，徹底防範難度極高。“除非公司實施電腦監控，檢查員工使用公司電腦瀏覽的每一個網站地址，但這又涉及到個人隱私的問題。” 

是否可以通過技術手段識別釣魚郵件？裴智勇介紹，目前採用的主要識別方法包括：識別發件郵箱是否爲惡意、分析文中是否存在敏感詞彙、以及判斷郵件中的網址是否爲釣魚網站。如果攻擊者已經盜取某個內部員工的郵箱，並且使用一個全新的釣魚網址，單純依靠郵件識別系統，要識別釣魚郵件存在較大難度。 

他坦言，如果是外來的羣發郵件，可以通過收件人的數量判斷其是否爲垃圾郵件，並進行攔截。但如果是內部郵箱羣發的郵件，往往很難發現。如果攻擊者只是定向發給一個或幾個收件人，通常手段都無法發現。 

花800元可任意改郵件發件人

“釣魚郵件”存在已久，並非是新型詐騙形式。雖然員工受騙是通過釣魚網站，但是博得其信任的關鍵在於郵箱後綴名來源於公司，這又是如何做到的？

記者瞭解到，有許多方式可以實現換郵箱的效果，其中較常用的是使用郵件代理。裴智勇介紹，所謂的郵件代理指的是軟件先把郵件截下來發送到某個受控郵箱，再由受控郵箱把郵件正文截下來，之後把郵件轉發給原定的收件人。這樣，收件人看到的發件人就是代理郵箱或中轉郵箱發出的郵件，而不是原始郵箱，從而使原始的發件郵箱被隱藏。

“通過僞造發件協議和更改傳輸信息，可以輕易更改郵箱地址，從而實現從任意一個地址發送郵件。”曲子龍表示。至於背後的原理，可以形象類比爲寄快遞，目前國內大部分郵箱系統均無法正確識別發信人僞造攻擊。“填寫寄件單的時候，一般快遞員更關注收件信息，不會對寄件人信息進行充分覈查，這就意味着寄件人信息有充分的造假空間。” 

類似的郵件代理服務，已在電商平臺上形成隱蔽的黑灰產業鏈。澎湃新聞記者以“修改郵箱發件人”“虛擬郵箱”“改地址”等關鍵詞在各大電商平臺搜索發現，僞造郵件發送地址的服務可以輕易購買。一位商家向記者表示，無論是發件地址、時間還是發件人名稱均可修改，價格約爲800元/封，如果添加附件，還需要200元的服務費。 

某電商平臺上有關“修改郵件發送地址”的商家可以輕鬆搜索到

“800元，這麼貴？”當記者詢問時，商家回應：“用別人郵箱發，你自己想想，800貴嗎。” 

另一位業內人士向記者展示，只需要購買相應服務器，就可以實現任意郵件地址發送電子郵件。頁面中特別標註：“如果您使用本工具發送任何違反法律法規郵件，與本站無關。”

企業如何防範？可採用“零信任”方式，需要一定成本

漏洞頻發的郵件系統，難道無法採取防範手段嗎？業內專家給出的普遍建議是，可以使用“零信任”方法，即對所有帳號的登錄和使用，進行持續監測與動態授權。 

什麼是“零信任”系統？騰訊安全專家李鐵軍告訴澎湃新聞記者，顧名思義，“零信任”關鍵在於打破“信任”，默認不信任企業網絡內外的任何人、設備和系統，基於身份認證和授權重新構建訪問控制。

“零信任”系統能夠在第一時間識別出哪些帳號的活動是異常的，哪些帳號已經被盜或已經成爲“內鬼”帳號，並封禁這些帳號。比如，某個員工的郵箱剛剛纔辦公網段進行登錄，卻突然跑到了外地某個地方登錄，之後立即發送大量郵件給其他員工，這就很有可能是一個被盜的，有風險的帳號。 

“在零信任機制的保護下，攻擊者會發現只依靠用戶名和密碼無法登錄進公司內網。”李鐵軍表示，系統會驗證出登陸者存在異常，需要進一步通過動態口令驗證身份。如果對方真的入侵到公司系統內部，要訪問關鍵信息，零信任系統給出的驗證要求會更高，可以有效防範風險。 

不過，他也提到，零信任系統不是萬能的，也會存在“漏網之魚”，需要企業提供更多技術方案。“比如在後臺中不斷檢查網絡情況，每一臺主機的網絡會不會有異常訪問，企業的網關位置會檢查某一臺主機是不是訪問了有風險的網址，這些其實都是預警信息。”值得一提的是，零信任系統也需要一定的企業成本。 

近年來，由於類似的“互聯網詐騙”頻發，多家企業已經提升對網絡安全的重視程度。以騰訊爲例，相關負責人告訴澎湃新聞記者，騰訊對於資源的訪問加入常用地址、設備以及應用類型等條件的約束；在響應手段上，騰訊從最開始只有直接放行和直接拒絕兩種，現在也加入像短信通知、企業微信通知，以及在訪問一些關鍵資源時嚴格進行多因素身份認證等。 

京東則成立集團級別的安全與風控委員會，就安全和風險問題進行統一管理。針對郵件收發場景，京東開啓雙因子身份驗證對釣魚郵件進行檢測和攔截，同時對全員以及一些關鍵羣組羣發郵件進行限制，將安全風險最小化。 

記者瞭解到，京東還會定期對員工進行釣魚郵件演練，以及安全意識培訓，幫助員工主動識別釣魚郵件，並提供日常釣魚郵件的舉報途徑。 

今年以來有關部門已發超50條警示公告，反詐中心：未知鏈接不點擊

要徹底清除被“釣魚”風險，除了企業要提升風控能力外，員工個人也要加強安全風險意識。 

“實際上，我們默認黑客是可以輕易獲取某個人的個人密碼和登陸信息的。”李鐵軍告訴澎湃新聞記者。“因爲人們經常使用一個密碼用於多種場景，因此一旦其中部分密碼泄露，意味着所有密碼都泄露了，破解難度並不高。”

李鐵軍認爲，員工平時應該儘量不要使用過於簡單的密碼，也不要用同一密碼應用不同場景。“這個案例只是手機掃碼後訪問了一個釣魚網站，影響相對較小。更嚴重的是，打開網站時公司內部系統可能會自動安裝後門程序，釋放病毒，導致整個內部網絡癱瘓，後續影響可能更爲不堪設想。” 

儘管釣魚郵件並不鮮見，但是記者觀察到，疫情以來，隨着居家辦公頻率增高，類似的詐騙案件有增多趨勢。多地公安機關、反詐中心也關注到此事，並給出提示。據記者搜索官方微博、微信等平臺進行不完全統計，今年以來，包括吉林、內蒙古、青海、河南、江蘇、浙江、上海、福建、廣東等省市的近百家公安機關和反詐中心都曾通過微信、微博等平臺發出過警惕“補貼騙局”的公告，數量超過50條。

今年2月24日，江蘇省公安廳在官網轉載了南京市公安局的安全防範提示，其中特別解析“領取補貼”爲名的詐騙郵件的套路：犯罪嫌疑人先以技術手段攻破企業郵箱，後以人事、財務部門名義發送假通知，誘導員工填入身份證號、銀行卡號、預留手機號、卡內餘額等信息。緊接着，嫌疑人根據銀行卡餘額確定詐騙的“目標金額”，迅速網購便於變現的充值卡等虛擬物品，並再次套取銀行發送的付款短信驗證碼，從而實現盜刷。

對此，全國多地反詐中心都給出了相近的四點提示：仔細甄別信息真假；通過官方途徑瞭解相關信息；96110（反詐專線）來電請立即接聽，要下載安裝國家反詐中心APP。國家反詐中心也將反詐總結成爲“三不一多”原則口訣：未知鏈接不點擊，陌生電話不輕信，個人信息不透露，轉賬匯款多核實。 

此外，記者還觀察到，除公安機關與反詐中心外，今年以來全國多地的法院檢察院、人社部門、銀保監部門、多家銀行以及高等院校和研究機構也都曾發佈關於釣魚郵件的詐騙防範提示。3月15日，人力資源與社會保障部在官方微信闢謠了“2022補貼”，並提示公衆別被詐騙信息忽悠了。