騙子盯上了搜狐的郵箱

歡迎關注“新浪科技”的微信訂閱號：techsina

文/唐亞華鄒帥

來源/深燃（ID：shenrancaijing）

做郵箱服務的搜狐，被郵箱詐騙盯上了。

據一份網傳的微信羣聊記錄顯示，搜狐全體員工在5月18日早晨收到一封名爲“搜狐財務部5月份員工工資補貼通知”的郵件，發件人的域名是“sohutv-legal”，郵件正文再次標註來自搜狐財務部。層層包裹下，這看起來似乎就是一封正經的內部郵件。有搜狐員工點進去，按照指示操作，填入了個人信息，結果銀行卡上的餘額被划走。

到了5月25日，事件持續發酵，一度登上微博熱搜第一。搜狐CEO張朝陽也公開做了回應。

這是典型的郵箱詐騙。不法分子往往僞裝成公司內部人員，羣發郵件，在郵件中植入套取個人信息的鏈接，一旦有人信以爲真，銀行卡上的餘額就會被套走。

現如今，網絡電信詐騙層出不窮，不法分子變着花樣，沿着網線摸進受害者的錢包。其中，郵箱詐騙是最難防範的形式之一，因爲很難攔截，且易於僞裝，纔會讓大家屢屢受騙。

有網友形容搜狐的遭遇是“養鷹的被鷹啄了眼睛”，意思是身爲互聯網大廠，尤其是自家還提供郵箱服務的大廠，都能被不法分子抓住漏洞。對此，有技術人員解釋，這一事件的問題在於，用外部郵箱發的郵件可能被公司系統攔截，但用員工的郵箱發，地址是內部的，則很可能繞過攔截。總的來說就是，防不勝防。

目前，搜狐方面已經報警，涉事的24位員工被騙的4萬餘元能否追回，還要等待調查結果。這件事情也是給廣大用戶，甚至是互聯網公司提了個醒，在防網絡電信詐騙上，始終不能掉以輕心。

郵箱詐騙套路不死

一位搜狐員工向深燃講述了這件事情的時間線。

5月18日凌晨，該郵件發出，但那個時候還遠未到上班時間，不少員工都在睡夢中。“我早上七八點看手機，看到同事提醒我不要點開郵箱裏那封郵件，我去郵箱看了，沒有看到，可能是做了處理。”

隨即，公司在部門羣裏發通知，讓被騙的員工填寫表格，“我們部門600多人，沒人填。”後來公司補充說，只要是點開了郵件也填寫一下信息，但據該員工表示，還是沒人填。

他表示，這件事情裏確實存在幾個疑點。一是發郵件的時間在凌晨，非工作時間；二是此前並沒有消息說公司要發所謂的補貼；三是按照以前的經驗，補貼一般都是物品類。所以，既沒有提前通知，又是在非工作時間發郵件說發放補貼，整件事很蹊蹺。

然而，還是有不少員工表示收到了郵件，並且乍一看覺得挺像真的。據澎湃新聞報道，一位搜狐員工表示，“因爲郵件後綴是公司郵箱，少了很多防備心理。”另一名員工表示，該郵件通過鏈接形式提供引導，要求員工填寫銀行卡號和手機號等個人信息。“平時報銷也會提供銀行卡號，所以沒有特別在意。”

5月25日上午，搜狐CEO張朝陽發微博表示“事情不像大家想象那麼嚴重”。他在微博中解釋，此次事件是搜狐一個員工的內部郵箱密碼被盜，盜賊冒充財務部發信給員工。另外，他表示，此次事件不涉及對公共服務的郵箱。

隨後，搜狐官方微博發佈聲明，表示事發後，公司IT及安全部門第一時間做了緊急處理，並向公安機關報案。24名員工被騙取4萬餘元人民幣，目前還在等待警方的調查進展和處理結果。

搜狐員工羣裏的通知來源 / 受訪者供圖

有網友表示，如果是自己遇到這種郵件，寫着“補貼”，而不是“發工資”這麼明顯的謊言，肯定也會忍不住點開。這恰恰就是不法分子踩準的心理，攻進內部郵箱只是第一步，還要起一個“誘人又合理”的標題。

5月25日下午，360集團CEO周鴻禕發佈微博，提到了郵箱詐騙的套路。他分析，假借單位的名義給大家發郵件，如加薪名單等等，再做成Excel、PDF、Word，“你一定會忍不住看下，只要你打開看，就會有惡意程序或代碼利用漏洞入駐，然後對你發起進一步網絡攻擊。”

網傳的搜狐內部聊天記錄截圖中提到，搜狐作爲一家做郵箱的公司，自己的郵箱反倒被入侵，這種事情好比是“一個網絡公司，被人偷了家。”實際上，搜狐員工不是唯一的受害者，此類騙局也並不新鮮。

事情在網上引起討論之後，不少網友表示，自己的公司也曾遇到過類似的情況，甚至有的公司還會組織“防騙演習”，發送郵件測試員工是否有防騙意識。

小紅書上名爲“桃子”的網友講述，最近她也收到了主題爲五月工資補貼申領的郵件，按指示掃碼，填寫姓名、身份證號、銀行卡號、手機號等信息。輸入驗證碼後，頁面一直加載，她再次輸入驗證碼還是如此。隨後她查了自己的賬戶，發現錢已經從銀行卡里扣走了，共計7000多元，顯示去處是用於交電費。

利用郵箱詐騙的操作是，不法分子盜取公司員工內部郵箱，向郵箱通訊錄中企業員工羣發郵件，稱公司下發某某通知，用微信掃描二維碼或點擊鏈接填寫信息。由此，員工的姓名、身份證號、銀行卡號、驗證碼等信息都被套取成功。這也是很多發送驗證碼的短信中會提示，不要將驗證碼告訴他人的原因。驗證碼的重要性，和密碼幾乎一樣。

北京至普律師事務所合夥人李聖律師告訴深燃，其實這種案件早就發生過多次，前不久就有“地板大王”大亞聖象公司的郵箱系統遭黑客入侵，導致公司損失了上千萬元。這種案件一般都是通過向警方報案，查找攻擊來源從而追回資金的。但由於網絡的特殊性，黑客的身份往往難以確定，所以很多案件的被盜資金難以追回。

如何通過郵件盜走銀行卡里的錢？

我們來拆解一下讓搜狐員工上當的騙術是怎麼實施的。

資深信息技術領域從業者、NETSTARS CTO陳斌告訴深燃，這種郵件詐騙方式又叫“釣魚”，近20來年一直存在，且非常猖獗。他解釋，大多數人每天都會收到很多類似的郵件，如銀行有一個需要確認的信息、某商家發放了優惠券。

“只要點了對應的鏈接，‘釣魚’的程序就可能下載到用戶的系統裏，隨後電腦瀏覽器就會被黑客的軟件腳本掃描。要是用戶在很多網頁設置記住密碼，這個密碼就在瀏覽器的某個文件上，黑客就會把那個文件拖出來，得到密碼。”他解釋。

很多人的郵箱密碼就這樣輕易被黑客獲取。陳斌補充，還有一種軟件比較高明，可以聽用戶在鍵盤上輸入的聲音。“假如你登錄某一個銀行系統，系統會聽你按鍵盤輸入密碼的聲音，把結果返回給釣魚的人，你的賬戶密碼可能就被泄露了。”

成功獲取一個密碼後，黑客通常還會去“撞庫”，因爲有的人郵箱、銀行卡等各種賬戶用着一樣的密碼。所謂的釣魚兩階段，就是先釣到密碼，然後再去撞用戶的有價值的資產賬戶。另一位技術專家張銳表示，黑客會用密碼本通過技術手段不斷登錄各種網頁，把登錄成功的記下來，然後是“拖庫”，用黑客手段進入數據庫，拖走用戶名和密碼。還有一種方式叫“社會工程學”，即黑客獲取一個賬戶密碼後，僞造各種身份跟目標人物聊天，把密碼問出來。

我們以郵箱爲例，如果郵箱被盜的員工有給全員發郵件的權限，黑客可能利用這個郵箱發全員信。而且黑客可以更改郵箱地址，張銳提到，有一種方式是“僞造郵件網關”，就是對一些安全級別不高的郵件服務器，用技術手段在發送郵件時將來源僞造成指定的郵箱地址。

假如黑客獲取的員工郵箱沒有權限給全公司員工發郵件，想要攻下公司財務部負責人的郵箱也不難。陳斌舉例，黑客可以冒充該員工給公司財務部負責人發郵件，假裝諮詢事情，只要財務部負責人點了設定好的鏈接，黑客又可以通過前文所述的方式獲取公司財務部郵箱的密碼，冒用財務部的權限來發全員郵件。

至於最後黑客冒充公司給員工發郵件騙取信息的套路也有很多，陳斌提到，有騙子假裝公司發出類似“爲了加強公司信息安全，所有人今天都要把某某賬戶的舊密碼換成新密碼”，換密碼的時候系統提示先輸入舊密碼，再輸入新密碼，這樣騙子就把用戶的兩個密碼都掌握了。

獲取密碼的下一步是拿到資產。某技術類大廠員工瑞奇解釋，銀行卡上的錢被划走分兩類，轉賬或消費。如果是轉賬稍微麻煩點，大部分需要要授權，比如密碼、驗證碼之類；消費更簡單點，不一定要輸入銀行卡綁定的手機驗證碼。

這裏面又分兩種情況，一種是騙子通過一定的技巧獲取用戶信任，得到了銀行卡號、密碼、驗證碼等個人信息，這樣拿走卡內資產就相當容易了。還有一種是，騙子只是獲取了用戶的銀行卡號，通過“撞庫”獲取了密碼，再加上一些銀行的網頁版，沒有驗證功能，有賬號密碼直接登錄就可以，也可能划走銀行卡里的錢。

就這樣，從點擊一封垃圾郵件或一個不明鏈接，到自己的賬戶被盜，再到銀行卡的錢被轉走，一條完整的路徑就出來了。

信任基礎上的詐騙最難防

很多人可能會質疑，堂堂搞技術出身的互聯網大廠，郵箱就這麼容易被攻破嗎？大廠員工警惕性這麼差嗎？

很多網友也反饋稱，是因爲看到郵件顯示的是搜狐內部域名。這中間又引出了一個重要話題，那就是大廠郵箱的安全性措施。

陳斌提到，一般大公司都會有反釣魚軟件，外部可能的垃圾郵件或病毒郵件進入員工郵箱的過程中，就被公司的郵件攔截了，也有的反釣魚軟件是在員工點開郵件的時候，同步掃描，提示該郵件是否存在風險。

但問題在於，“用外部郵箱發的風險郵件可能被公司的系統攔截，而用員工的郵箱發，地址是內部的，很可能繞過公司對釣魚軟件的攔截。”瑞奇說。

這樣的事件發生之後，誰該來擔責？

李聖告訴深燃，公司內部郵箱被盜導致員工被騙，首先要找實施盜取郵箱、錢款行爲的人追責；其次，大型互聯網公司肯定有專門的網絡安全部門，公司可以內部追責；另外，如果公司在操作或管理上存在明顯疏漏，也需要承擔相應責任。

“具體來看，需要看公司是否盡到了必要的網絡安全管理職責，比如是否定期審覈系統平臺的安全策略、定期評估網絡風險，公司的信息安全技術規範、標準和管理制度是否完善，公司是否關注最新的網絡安全漏洞、病毒公告、攻擊方式並及時採取防範措施等等。”

對公司來說，“搜狐作爲知名的互聯網科技公司，其內部郵箱被盜必定會使大衆對其網絡科技水平產生質疑，對公司形象造成的負面影響，搜狐可以要求黑客對由此造成的經濟損失進行賠償。被騙員工在不存在明顯過失的情況下，可以要求公司先進行相應的補償，在追回款項後，公司可以向黑客進行追償。”李聖說。

在量刑上，李聖提到，以發放補貼的名義騙取員工銀行卡號，划走卡內錢款，達到一定金額的，構成詐騙罪，本案雖然被騙金額未超過5萬元，但利用電信網絡技術手段詐騙公私財物價值三萬元以上的，已經達到了刑法第266條詐騙罪中“數額巨大”的程度。“作案者涉嫌構成非法獲取計算機信息系統數據、非法控制計算機信息系統罪以及詐騙罪，需要對此承擔相應的刑事責任。”

最後，再次提醒所有人，警惕詐騙，要從方方方面做起。

結合多位技術專家的觀點，首先要看清楚收到的郵件和短信等信息。一個商家或企業發來的信息，郵件域名應該是這個企業的名稱，要檢查發件人的地址是不是真實，打開的網頁網址是不是正規。

其次，個人賬戶安全方面，“很多用戶的密碼設置得太簡單，大部分人用的是自己和家人的姓名、生日、紀念日、電話號碼等，這些信息用各種手段都很容易獲取，再用技術規則不斷試就行了。”張銳說。

爲了賬戶安全，除了重視密碼設置，還要做銀行卡安全設置，比如超過一定數額的轉賬需要人臉識別或者語音確認；不到必須的時候，不提供完整銀行卡號，只提供卡號的前四位和後四位數；掃描二維碼的時候注意看屏幕提示，跟場景不對的不要點確定，不掃來源不明的碼。

李聖也提醒，陌生人通過網絡、短信、電話等方式要求轉賬匯款的，一律不要聽信；短信、社交軟件上陌生人發來的各種鏈接一律不要點擊；不要輕信天上掉餡餅的中獎信息、高息貸款信息；最後，不要輕易將自己或家人的身份信息、聯繫方式等泄露給他人，遇到疑似詐騙信息時，要多方查證，避免上當。

但，所有的避坑方式，都很難解決在信任基礎上的詐騙。像搜狐員工事件，就是因爲部分員工相信了這是來自公司的信息。“安全性是個對抗問題，利益足夠大的時候，就會有高手盯上，雙方相互出招拆招。”張銳說。我們能做的，只有萬分警惕，擦亮眼睛。

*題圖來源於視覺中國，文中配圖來源於unsplash。應受訪者要求，文中張銳、瑞奇爲化名。