文｜深燃 唐亞華 鄒帥

編輯 | 唐亞華

做郵箱服務(wù)的搜狐，被郵箱詐騙盯上了。

據(jù)一份網(wǎng)傳的微信群聊記錄顯示，搜狐全體員工在5月18日早晨收到一封名為“搜狐財務(wù)部5月份員工工資補貼通知”的郵件，發(fā)件人的域名是“sohutv-legal”，郵件正文再次標注來自搜狐財務(wù)部。層層包裹下，這看起來似乎就是一封正經(jīng)的內(nèi)部郵件。有搜狐員工點進去，按照指示操作，填入了個人信息，結(jié)果銀行卡上的余額被劃走。

到了5月25日，事件持續(xù)發(fā)酵，一度登上微博熱搜第一。搜狐CEO張朝陽也公開做了回應(yīng)。

這是典型的郵箱詐騙。不法分子往往偽裝成公司內(nèi)部人員，群發(fā)郵件，在郵件中植入套取個人信息的鏈接，一旦有人信以為真，銀行卡上的余額就會被套走。

現(xiàn)如今，網(wǎng)絡(luò)電信詐騙層出不窮，不法分子變著花樣，沿著網(wǎng)線摸進受害者的錢包。其中，郵箱詐騙是最難防范的形式之一，因為很難攔截，且易于偽裝，才會讓大家屢屢受騙。

有網(wǎng)友形容搜狐的遭遇是“養(yǎng)鷹的被鷹啄了眼睛”，意思是身為互聯(lián)網(wǎng)大廠，尤其是自家還提供郵箱服務(wù)的大廠，都能被不法分子抓住漏洞。對此，有技術(shù)人員解釋，這一事件的問題在于，用外部郵箱發(fā)的郵件可能被公司系統(tǒng)攔截，但用員工的郵箱發(fā)，地址是內(nèi)部的，則很可能繞過攔截?？偟膩碚f就是，防不勝防。

目前，搜狐方面已經(jīng)報警，涉事的24位員工被騙的4萬余元能否追回，還要等待調(diào)查結(jié)果。這件事情也是給廣大用戶，甚至是互聯(lián)網(wǎng)公司提了個醒，在防網(wǎng)絡(luò)電信詐騙上，始終不能掉以輕心。

郵箱詐騙套路不死

一位搜狐員工向深燃講述了這件事情的時間線。

5月18日凌晨，該郵件發(fā)出，但那個時候還遠未到上班時間，不少員工都在睡夢中?！拔以缟掀甙它c看手機，看到同事提醒我不要點開郵箱里那封郵件，我去郵箱看了，沒有看到，可能是做了處理。”

隨即，公司在部門群里發(fā)通知，讓被騙的員工填寫表格，“我們部門600多人，沒人填?！焙髞砉狙a充說，只要是點開了郵件也填寫一下信息，但據(jù)該員工表示，還是沒人填。

他表示，這件事情里確實存在幾個疑點。一是發(fā)郵件的時間在凌晨，非工作時間；二是此前并沒有消息說公司要發(fā)所謂的補貼；三是按照以前的經(jīng)驗，補貼一般都是物品類。所以，既沒有提前通知，又是在非工作時間發(fā)郵件說發(fā)放補貼，整件事很蹊蹺。

該郵件的內(nèi)容 來源 / 受訪者供圖

然而，還是有不少員工表示收到了郵件，并且乍一看覺得挺像真的。據(jù)澎湃新聞報道，一位搜狐員工表示，“因為郵件后綴是公司郵箱，少了很多防備心理?！绷硪幻麊T工表示，該郵件通過鏈接形式提供引導，要求員工填寫銀行卡號和手機號等個人信息。“平時報銷也會提供銀行卡號，所以沒有特別在意?！?/p>

5月25日上午，搜狐CEO張朝陽發(fā)微博表示“事情不像大家想象那么嚴重”。他在微博中解釋，此次事件是搜狐一個員工的內(nèi)部郵箱密碼被盜，盜賊冒充財務(wù)部發(fā)信給員工。另外，他表示，此次事件不涉及對公共服務(wù)的郵箱。

隨后，搜狐官方微博發(fā)布聲明，表示事發(fā)后，公司IT及安全部門第一時間做了緊急處理，并向公安機關(guān)報案。24名員工被騙取4萬余元人民幣，目前還在等待警方的調(diào)查進展和處理結(jié)果。

搜狐員工群里的通知 來源 / 受訪者供圖

有網(wǎng)友表示，如果是自己遇到這種郵件，寫著“補貼”，而不是“發(fā)工資”這么明顯的謊言，肯定也會忍不住點開。這恰恰就是不法分子踩準的心理，攻進內(nèi)部郵箱只是第一步，還要起一個“誘人又合理”的標題。

5月25日下午，360集團CEO周鴻祎發(fā)布微博，提到了郵箱詐騙的套路。他分析，假借單位的名義給大家發(fā)郵件，如加薪名單等等，再做成Excel、PDF、Word，“你一定會忍不住看下，只要你打開看，就會有惡意程序或代碼利用漏洞入駐，然后對你發(fā)起進一步網(wǎng)絡(luò)攻擊?！?/p>

網(wǎng)傳的搜狐內(nèi)部聊天記錄截圖中提到，搜狐作為一家做郵箱的公司，自己的郵箱反倒被入侵，這種事情好比是“一個網(wǎng)絡(luò)公司，被人偷了家。”實際上，搜狐員工不是唯一的受害者，此類騙局也并不新鮮。

事情在網(wǎng)上引起討論之后，不少網(wǎng)友表示，自己的公司也曾遇到過類似的情況，甚至有的公司還會組織“防騙演習”，發(fā)送郵件測試員工是否有防騙意識。

小紅書上名為“桃子”的網(wǎng)友講述，最近她也收到了主題為五月工資補貼申領(lǐng)的郵件，按指示掃碼，填寫姓名、身份證號、銀行卡號、手機號等信息。輸入驗證碼后，頁面一直加載，她再次輸入驗證碼還是如此。隨后她查了自己的賬戶，發(fā)現(xiàn)錢已經(jīng)從銀行卡里扣走了，共計7000多元，顯示去處是用于交電費。

利用郵箱詐騙的操作是，不法分子盜取公司員工內(nèi)部郵箱，向郵箱通訊錄中企業(yè)員工群發(fā)郵件，稱公司下發(fā)某某通知，用微信掃描二維碼或點擊鏈接填寫信息。由此，員工的姓名、身份證號、銀行卡號、驗證碼等信息都被套取成功。這也是很多發(fā)送驗證碼的短信中會提示，不要將驗證碼告訴他人的原因。驗證碼的重要性，和密碼幾乎一樣。

北京至普律師事務(wù)所合伙人李圣律師告訴深燃，其實這種案件早就發(fā)生過多次，前不久就有“地板大王”大亞圣象公司的郵箱系統(tǒng)遭黑客入侵，導致公司損失了上千萬元。這種案件一般都是通過向警方報案，查找攻擊來源從而追回資金的。但由于網(wǎng)絡(luò)的特殊性，黑客的身份往往難以確定，所以很多案件的被盜資金難以追回。

如何通過郵件盜走銀行卡里的錢？

我們來拆解一下讓搜狐員工上當?shù)尿_術(shù)是怎么實施的。

資深信息技術(shù)領(lǐng)域從業(yè)者、NETSTARS CTO陳斌告訴深燃，這種郵件詐騙方式又叫“釣魚”，近20來年一直存在，且非常猖獗。他解釋，大多數(shù)人每天都會收到很多類似的郵件，如銀行有一個需要確認的信息、某商家發(fā)放了優(yōu)惠券。

“只要點了對應(yīng)的鏈接，‘釣魚’的程序就可能下載到用戶的系統(tǒng)里，隨后電腦瀏覽器就會被黑客的軟件腳本掃描。要是用戶在很多網(wǎng)頁設(shè)置記住密碼，這個密碼就在瀏覽器的某個文件上，黑客就會把那個文件拖出來，得到密碼?！彼忉尅?/p>

很多人的郵箱密碼就這樣輕易被黑客獲取。陳斌補充，還有一種軟件比較高明，可以聽用戶在鍵盤上輸入的聲音。“假如你登錄某一個銀行系統(tǒng)，系統(tǒng)會聽你按鍵盤輸入密碼的聲音，把結(jié)果返回給釣魚的人，你的賬戶密碼可能就被泄露了?！?/p>

成功獲取一個密碼后，黑客通常還會去“撞庫”，因為有的人郵箱、銀行卡等各種賬戶用著一樣的密碼。所謂的釣魚兩階段，就是先釣到密碼，然后再去撞用戶的有價值的資產(chǎn)賬戶。另一位技術(shù)專家張銳表示，黑客會用密碼本通過技術(shù)手段不斷登錄各種網(wǎng)頁，把登錄成功的記下來，然后是“拖庫”，用黑客手段進入數(shù)據(jù)庫，拖走用戶名和密碼 。還有一種方式叫“社會工程學”，即黑客獲取一個賬戶密碼后， 偽造各種身份跟目標人物聊天，把密碼問出來。

我們以郵箱為例，如果郵箱被盜的員工有給全員發(fā)郵件的權(quán)限，黑客可能利用這個郵箱發(fā)全員信。而且黑客可以更改郵箱地址，張銳提到，有一種方式是“偽造郵件網(wǎng)關(guān)”，就是對一些安全級別不高的郵件服務(wù)器，用技術(shù)手段在發(fā)送郵件時將來源偽造成指定的郵箱地址。

假如黑客獲取的員工郵箱沒有權(quán)限給全公司員工發(fā)郵件，想要攻下公司財務(wù)部負責人的郵箱也不難。陳斌舉例，黑客可以冒充該員工給公司財務(wù)部負責人發(fā)郵件，假裝咨詢事情，只要財務(wù)部負責人點了設(shè)定好的鏈接，黑客又可以通過前文所述的方式獲取公司財務(wù)部郵箱的密碼，冒用財務(wù)部的權(quán)限來發(fā)全員郵件。

至于最后黑客冒充公司給員工發(fā)郵件騙取信息的套路也有很多，陳斌提到，有騙子假裝公司發(fā)出類似“為了加強公司信息安全，所有人今天都要把某某賬戶的舊密碼換成新密碼”，換密碼的時候系統(tǒng)提示先輸入舊密碼，再輸入新密碼，這樣騙子就把用戶的兩個密碼都掌握了。

獲取密碼的下一步是拿到資產(chǎn)。某技術(shù)類大廠員工瑞奇解釋，銀行卡上的錢被劃走分兩類，轉(zhuǎn)賬或消費。如果是轉(zhuǎn)賬稍微麻煩點，大部分需要要授權(quán)，比如密碼、驗證碼之類；消費更簡單點，不一定要輸入銀行卡綁定的手機驗證碼。

這里面又分兩種情況，一種是騙子通過一定的技巧獲取用戶信任，得到了銀行卡號、密碼、驗證碼等個人信息，這樣拿走卡內(nèi)資產(chǎn)就相當容易了。還有一種是，騙子只是獲取了用戶的銀行卡號，通過“撞庫”獲取了密碼，再加上一些銀行的網(wǎng)頁版，沒有驗證功能，有賬號密碼直接登錄就可以，也可能劃走銀行卡里的錢。

就這樣，從點擊一封垃圾郵件或一個不明鏈接，到自己的賬戶被盜，再到銀行卡的錢被轉(zhuǎn)走，一條完整的路徑就出來了。

信任基礎(chǔ)上的詐騙最難防

很多人可能會質(zhì)疑，堂堂搞技術(shù)出身的互聯(lián)網(wǎng)大廠，郵箱就這么容易被攻破嗎？大廠員工警惕性這么差嗎？

很多網(wǎng)友也反饋稱，是因為看到郵件顯示的是搜狐內(nèi)部域名。這中間又引出了一個重要話題，那就是大廠郵箱的安全性措施。

陳斌提到，一般大公司都會有反釣魚軟件，外部可能的垃圾郵件或病毒郵件進入員工郵箱的過程中，就被公司的郵件攔截了，也有的反釣魚軟件是在員工點開郵件的時候，同步掃描，提示該郵件是否存在風險。

但問題在于，“用外部郵箱發(fā)的風險郵件可能被公司的系統(tǒng)攔截，而用員工的郵箱發(fā)，地址是內(nèi)部的，很可能繞過公司對釣魚軟件的攔截。”瑞奇說。

這樣的事件發(fā)生之后，誰該來擔責？

李圣告訴深燃，公司內(nèi)部郵箱被盜導致員工被騙，首先要找實施盜取郵箱、錢款行為的人追責；其次，大型互聯(lián)網(wǎng)公司肯定有專門的網(wǎng)絡(luò)安全部門，公司可以內(nèi)部追責；另外，如果公司在操作或管理上存在明顯疏漏，也需要承擔相應(yīng)責任。

“具體來看，需要看公司是否盡到了必要的網(wǎng)絡(luò)安全管理職責，比如是否定期審核系統(tǒng)平臺的安全策略、定期評估網(wǎng)絡(luò)風險，公司的信息安全技術(shù)規(guī)范、標準和管理制度是否完善，公司是否關(guān)注最新的網(wǎng)絡(luò)安全漏洞、病毒公告、攻擊方式并及時采取防范措施等等?！?/p>

對公司來說，“搜狐作為知名的互聯(lián)網(wǎng)科技公司，其內(nèi)部郵箱被盜必定會使大眾對其網(wǎng)絡(luò)科技水平產(chǎn)生質(zhì)疑，對公司形象造成的負面影響，搜狐可以要求黑客對由此造成的經(jīng)濟損失進行賠償。被騙員工在不存在明顯過失的情況下，可以要求公司先進行相應(yīng)的補償，在追回款項后，公司可以向黑客進行追償。”李圣說。

在量刑上，李圣提到，以發(fā)放補貼的名義騙取員工銀行卡號，劃走卡內(nèi)錢款，達到一定金額的，構(gòu)成詐騙罪，本案雖然被騙金額未超過5萬元，但利用電信網(wǎng)絡(luò)技術(shù)手段詐騙公私財物價值三萬元以上的，已經(jīng)達到了刑法第266條詐騙罪中“數(shù)額巨大”的程度。“作案者涉嫌構(gòu)成非法獲取計算機信息系統(tǒng)數(shù)據(jù)、非法控制計算機信息系統(tǒng)罪以及詐騙罪，需要對此承擔相應(yīng)的刑事責任。”

最后，再次提醒所有人，警惕詐騙，要從方方方面做起。

結(jié)合多位技術(shù)專家的觀點，首先要看清楚收到的郵件和短信等信息。一個商家或企業(yè)發(fā)來的信息，郵件域名應(yīng)該是這個企業(yè)的名稱，要檢查發(fā)件人的地址是不是真實，打開的網(wǎng)頁網(wǎng)址是不是正規(guī)。

其次，個人賬戶安全方面，“很多用戶的密碼設(shè)置得太簡單，大部分人用的是自己和家人的姓名、生日、紀念日、電話號碼等，這些信息用各種手段都很容易獲取，再用技術(shù)規(guī)則不斷試就行了?！睆堜J說。

為了賬戶安全，除了重視密碼設(shè)置，還要做銀行卡安全設(shè)置，比如超過一定數(shù)額的轉(zhuǎn)賬需要人臉識別或者語音確認；不到必須的時候，不提供完整銀行卡號，只提供卡號的前四位和后四位數(shù)；掃描二維碼的時候注意看屏幕提示，跟場景不對的不要點確定，不掃來源不明的碼。

李圣也提醒，陌生人通過網(wǎng)絡(luò)、短信、電話等方式要求轉(zhuǎn)賬匯款的，一律不要聽信；短信、社交軟件上陌生人發(fā)來的各種鏈接一律不要點擊；不要輕信天上掉餡餅的中獎信息、高息貸款信息；最后，不要輕易將自己或家人的身份信息、聯(lián)系方式等泄露給他人，遇到疑似詐騙信息時，要多方查證，避免上當。

但，所有的避坑方式，都很難解決在信任基礎(chǔ)上的詐騙。像搜狐員工事件，就是因為部分員工相信了這是來自公司的信息?！鞍踩允莻€對抗問題，利益足夠大的時候，就會有高手盯上，雙方相互出招拆招。”張銳說。我們能做的，只有萬分警惕，擦亮眼睛。

應(yīng)受訪者要求，文中張銳、瑞奇為化名。