近日，国内头部邮件服务商搜狐公司内部遭到钓鱼邮件攻击。

消息曝出后，有关“搜狐员工遭遇工资补助诈骗，损失惨重”的话题也登上热搜。

数名搜狐员工向界面新闻记者证实确实收到了该邮件。一名搜狐员工表示，公司在18号早晨9点发布全员预警，请员工不要点击该钓鱼邮件。

搜狐内部提醒员工请勿轻信

搜狐员工遭遇工资补助诈骗

近日，一份微信群聊记录显示，5月18日，搜狐全体员工收到一封来自“搜狐财务部”名为《5月份员工工资补助通知》的邮件，有员工按照附件要求扫码，并填写了银行账号等信息，不但没有等到补助，工资卡内的余额被划走。

搜狐员工收到的内部钓鱼邮件内容

《商学院》记者向搜狐方面求证，但截止发稿未收到回复。

5月25日11时，搜狐公司CEO张朝阳发表微博称，事情并没有大家想象的那么严重，主要是一名搜狐员工的内部邮箱密码被盗，盗贼冒充财务部发信给员工。技术部门发现后紧急处理，总体资金损失总额少于5万元。该事件并不涉及搜狐对外的公共服务邮箱[email protected]。

搜狐公司董事局主席兼CEO张朝阳微博

5月25日下午，搜狐在微博发布声明称，5月18日凌晨，搜狐部分员工邮箱收到诈骗邮件。经调查，实为某员工使用邮件时被意外钓鱼导致密码泄露，进而被冒充财务部盗发邮件。事发后，公司IT及安全部门第一时间做了紧急处理并向公安机关报案。据统计，共有24名员工被骗取4万余元人民币。目前正在等待警方的调查进展和处理结果。

搜狐官方微博声明

搜狐称，这次事件不涉及到搜狐公司对用户提供的邮件服务。搜狐会持续升级网络安全技术，维护公司和个人的网络安全，更好地提供网络服务。

这起事件的反差点在于，一个运营邮箱业务的互联网公司，自己员工却被邮件诈骗。

有网友调侃道：“我猜搜狐的人都没下载国家反诈App”“一家互联网企业被偷了家”。

邮箱业务也是搜狐的传统业务之一，资料显示，sohu邮箱分别有sohu免费邮箱、sohuVIP邮箱以及sohu企业邮箱等。

奇安信行业安全研究中心主任裴智勇告诉界面新闻记者，邮件攻击是针对企业最简单，但也最有效、最具迷惑性的攻击方法。每年被盗的各类邮箱账号数以百万计，这是安全管理疏忽的表现。

裴智勇称，搜狐所遭遇的情况是一起典型的OA钓鱼攻击事件。通常情况下，这种攻击的过程大致是这样的：攻击者首先盗取或恶意注册了一个公司内部邮箱，之后再用这个邮箱发邮件给其他员工，诱骗其在钓鱼网站（仿冒的公司邮件登陆页面）上输入账号和密码，从而骗取邮箱密码，攻击者盗取内部邮箱账号的过程，很有可能也是通过另一封钓鱼邮件完成的。

“电子邮件是最早的网络通信方式，设计之初并没有任何安全考虑，普通的电子邮件基本都是明文传输，而且没有加密校验的。邮件报文明文传输的本质是其容易被篡改的根本原因。”

裴智勇表示，目前大型邮件服务商都设置了很多安全机制来规避邮件被盗用修改的情况，比如，收邮件的服务系统可以向发邮件的服务系统发出一些验证信息，以确认邮箱或邮件来源是否可信。不过很多企业都出于各种原因，没有开启类似的校验功能。

邮箱业务是搜狐传统业务之一，该业务下分sohu免费邮箱，sohuVIP邮箱以及sohu企业邮箱等，搜狐电子邮箱服务也是国内最大的邮箱服务商之一。此次搜狐自身内网邮箱遭到攻击，也让邮箱的安全问题再次受到外界关注。

“企业应该部署邮件安全系统或邮件威胁识别系统。本次事件关联的企业，本身也是国内领先的邮件服务商，此类系统可能也是健全的。只不过，钓鱼邮件本身确实很难识别，难免会有漏网之鱼。”

据界面新闻了解，不仅是搜狐，多家公司员工都曾表示在内网收到过类似的钓鱼邮件，除了外部恶意攻击，还有一部分来自企业内部安全部门对员工的“钓鱼培训”，未经过考验，点击了邮件的员工将受到重点安全教育。

裴智勇亦表示，邮件攻击的发生一方面是企业自身安全管理疏忽的表现，而员工被钓鱼邮件所骗，也是自身安全意识不足的体现。因此，为了防范此类攻击，企业不仅需要部署邮件安全系统，还要经常进行员工安全意识教育，进行各类实战攻防演习。同时，企业邮箱系统需要开启强制弱口令检测，强制定期改密码，以最大限度的减轻邮箱盗号风险。

同样操作手法的诈骗案多次出现

搜狐的遭遇其实不是孤例，同样操作手法的诈骗案多次出现，已有多个互联网公司中招。

据澎湃新闻报道，今年2月份，B站也曾流传出“诈骗邮件”的截图。知情人士向记者透露，该邮件通过群发形式传播到全体员工，多位员工受骗，总计受骗金额数万元，虽然受骗员工数量不是很多，但是传播范围很广。

该知情人士透露，可能的原因是某公司员工的电脑接触了病毒，从而导致信息泄露。

南京网警去年也披露了一个类似的案例。

在这起案件中，南京市民徐女士收到了一份内容为“工资补贴通知”的企业邮箱邮件。

徐女士点击进入页面，邮件显示只需扫描邮件内的二维码，按照流程如实填写信息便可获得补贴。

徐女士毫无防备，立马扫描二维码，进入“2021年工资补贴”的申领界面。

徐女士按照链接提示输入了银行卡号、身份证号、手机号以及银行卡的可用额度。随后徐女士还收到了一条短信验证码，徐女士将相关信息全部输入。

一番操作后，本以为能美滋滋地等着补贴到账的徐女士，等来的却是银行卡的10000元扣款信息。银行卡被“洗劫”的徐女士这才醒悟过来，自己中了骗子的圈套，立即报警。

据澎湃新闻报道，上海申伦律师事务所律师夏海龙表示，“冒充公司人员，以发放工资补贴的名义骗取员工银行卡号、身份证号码等个人信息的行为涉嫌侵犯公民个人信息罪，如果行为人最终利用所获取的个人信息诈骗得逞，则构成诈骗罪。”

适当开展网络安全培训

5月25日下午，360集团创始人兼董事长周鸿祎谈到了钓鱼邮件。他在微博称：“为什么现在大量的攻击防火墙很难防范，甚至仅凭一个漏洞就能让人神不知鬼不觉地被攻击，因为你拦不住邮件，尤其邮件看起来还非常正常。比如，假借单位的名义给大家发个邮件，这是今年加薪名单，是今年要提拔人的名单，这种做成Excel表格，做成PDF、Word文档，你一定会忍不住看下，只要你打开看，就会有恶意程序或代码利用漏洞入驻，然后对你发起进一步网络攻击。”