文｜深燃 唐亞華 鄒帥

編輯 | 唐亞華

做郵箱服務(wù)的搜狐，被郵箱詐騙盯上了。

據(jù)一份網(wǎng)傳的微信群聊記錄顯示，搜狐全體員工在5月18日早晨收到一封名為“搜狐財(cái)務(wù)部5月份員工工資補(bǔ)貼通知”的郵件，發(fā)件人的域名是“sohutv-legal”，郵件正文再次標(biāo)注來(lái)自搜狐財(cái)務(wù)部。層層包裹下，這看起來(lái)似乎就是一封正經(jīng)的內(nèi)部郵件。有搜狐員工點(diǎn)進(jìn)去，按照指示操作，填入了個(gè)人信息，結(jié)果銀行卡上的余額被劃走。

到了5月25日，事件持續(xù)發(fā)酵，一度登上微博熱搜第一。搜狐CEO張朝陽(yáng)也公開做了回應(yīng)。

這是典型的郵箱詐騙。不法分子往往偽裝成公司內(nèi)部人員，群發(fā)郵件，在郵件中植入套取個(gè)人信息的鏈接，一旦有人信以為真，銀行卡上的余額就會(huì)被套走。

現(xiàn)如今，網(wǎng)絡(luò)電信詐騙層出不窮，不法分子變著花樣，沿著網(wǎng)線摸進(jìn)受害者的錢包。其中，郵箱詐騙是最難防范的形式之一，因?yàn)楹茈y攔截，且易于偽裝，才會(huì)讓大家屢屢受騙。

有網(wǎng)友形容搜狐的遭遇是“養(yǎng)鷹的被鷹啄了眼睛”，意思是身為互聯(lián)網(wǎng)大廠，尤其是自家還提供郵箱服務(wù)的大廠，都能被不法分子抓住漏洞。對(duì)此，有技術(shù)人員解釋，這一事件的問(wèn)題在于，用外部郵箱發(fā)的郵件可能被公司系統(tǒng)攔截，但用員工的郵箱發(fā)，地址是內(nèi)部的，則很可能繞過(guò)攔截?？偟膩?lái)說(shuō)就是，防不勝防。

目前，搜狐方面已經(jīng)報(bào)警，涉事的24位員工被騙的4萬(wàn)余元能否追回，還要等待調(diào)查結(jié)果。這件事情也是給廣大用戶，甚至是互聯(lián)網(wǎng)公司提了個(gè)醒，在防網(wǎng)絡(luò)電信詐騙上，始終不能掉以輕心。

郵箱詐騙套路不死

一位搜狐員工向深燃講述了這件事情的時(shí)間線。

5月18日凌晨，該郵件發(fā)出，但那個(gè)時(shí)候還遠(yuǎn)未到上班時(shí)間，不少員工都在睡夢(mèng)中?！拔以缟掀甙它c(diǎn)看手機(jī)，看到同事提醒我不要點(diǎn)開郵箱里那封郵件，我去郵箱看了，沒有看到，可能是做了處理?！?/p>

隨即，公司在部門群里發(fā)通知，讓被騙的員工填寫表格，“我們部門600多人，沒人填?！焙髞?lái)公司補(bǔ)充說(shuō)，只要是點(diǎn)開了郵件也填寫一下信息，但據(jù)該員工表示，還是沒人填。

他表示，這件事情里確實(shí)存在幾個(gè)疑點(diǎn)。一是發(fā)郵件的時(shí)間在凌晨，非工作時(shí)間；二是此前并沒有消息說(shuō)公司要發(fā)所謂的補(bǔ)貼；三是按照以前的經(jīng)驗(yàn)，補(bǔ)貼一般都是物品類。所以，既沒有提前通知，又是在非工作時(shí)間發(fā)郵件說(shuō)發(fā)放補(bǔ)貼，整件事很蹊蹺。

該郵件的內(nèi)容 來(lái)源 / 受訪者供圖

然而，還是有不少員工表示收到了郵件，并且乍一看覺得挺像真的。據(jù)澎湃新聞報(bào)道，一位搜狐員工表示，“因?yàn)猷]件后綴是公司郵箱，少了很多防備心理?！绷硪幻麊T工表示，該郵件通過(guò)鏈接形式提供引導(dǎo)，要求員工填寫銀行卡號(hào)和手機(jī)號(hào)等個(gè)人信息。“平時(shí)報(bào)銷也會(huì)提供銀行卡號(hào)，所以沒有特別在意?！?/p>

5月25日上午，搜狐CEO張朝陽(yáng)發(fā)微博表示“事情不像大家想象那么嚴(yán)重”。他在微博中解釋，此次事件是搜狐一個(gè)員工的內(nèi)部郵箱密碼被盜，盜賊冒充財(cái)務(wù)部發(fā)信給員工。另外，他表示，此次事件不涉及對(duì)公共服務(wù)的郵箱。

隨后，搜狐官方微博發(fā)布聲明，表示事發(fā)后，公司IT及安全部門第一時(shí)間做了緊急處理，并向公安機(jī)關(guān)報(bào)案。24名員工被騙取4萬(wàn)余元人民幣，目前還在等待警方的調(diào)查進(jìn)展和處理結(jié)果。

搜狐員工群里的通知 來(lái)源 / 受訪者供圖

有網(wǎng)友表示，如果是自己遇到這種郵件，寫著“補(bǔ)貼”，而不是“發(fā)工資”這么明顯的謊言，肯定也會(huì)忍不住點(diǎn)開。這恰恰就是不法分子踩準(zhǔn)的心理，攻進(jìn)內(nèi)部郵箱只是第一步，還要起一個(gè)“誘人又合理”的標(biāo)題。

5月25日下午，360集團(tuán)CEO周鴻祎發(fā)布微博，提到了郵箱詐騙的套路。他分析，假借單位的名義給大家發(fā)郵件，如加薪名單等等，再做成Excel、PDF、Word，“你一定會(huì)忍不住看下，只要你打開看，就會(huì)有惡意程序或代碼利用漏洞入駐，然后對(duì)你發(fā)起進(jìn)一步網(wǎng)絡(luò)攻擊?！?/p>

網(wǎng)傳的搜狐內(nèi)部聊天記錄截圖中提到，搜狐作為一家做郵箱的公司，自己的郵箱反倒被入侵，這種事情好比是“一個(gè)網(wǎng)絡(luò)公司，被人偷了家?！睂?shí)際上，搜狐員工不是唯一的受害者，此類騙局也并不新鮮。

事情在網(wǎng)上引起討論之后，不少網(wǎng)友表示，自己的公司也曾遇到過(guò)類似的情況，甚至有的公司還會(huì)組織“防騙演習(xí)”，發(fā)送郵件測(cè)試員工是否有防騙意識(shí)。

小紅書上名為“桃子”的網(wǎng)友講述，最近她也收到了主題為五月工資補(bǔ)貼申領(lǐng)的郵件，按指示掃碼，填寫姓名、身份證號(hào)、銀行卡號(hào)、手機(jī)號(hào)等信息。輸入驗(yàn)證碼后，頁(yè)面一直加載，她再次輸入驗(yàn)證碼還是如此。隨后她查了自己的賬戶，發(fā)現(xiàn)錢已經(jīng)從銀行卡里扣走了，共計(jì)7000多元，顯示去處是用于交電費(fèi)。

利用郵箱詐騙的操作是，不法分子盜取公司員工內(nèi)部郵箱，向郵箱通訊錄中企業(yè)員工群發(fā)郵件，稱公司下發(fā)某某通知，用微信掃描二維碼或點(diǎn)擊鏈接填寫信息。由此，員工的姓名、身份證號(hào)、銀行卡號(hào)、驗(yàn)證碼等信息都被套取成功。這也是很多發(fā)送驗(yàn)證碼的短信中會(huì)提示，不要將驗(yàn)證碼告訴他人的原因。驗(yàn)證碼的重要性，和密碼幾乎一樣。

北京至普律師事務(wù)所合伙人李圣律師告訴深燃，其實(shí)這種案件早就發(fā)生過(guò)多次，前不久就有“地板大王”大亞圣象公司的郵箱系統(tǒng)遭黑客入侵，導(dǎo)致公司損失了上千萬(wàn)元。這種案件一般都是通過(guò)向警方報(bào)案，查找攻擊來(lái)源從而追回資金的。但由于網(wǎng)絡(luò)的特殊性，黑客的身份往往難以確定，所以很多案件的被盜資金難以追回。

如何通過(guò)郵件盜走銀行卡里的錢？

我們來(lái)拆解一下讓搜狐員工上當(dāng)?shù)尿_術(shù)是怎么實(shí)施的。

資深信息技術(shù)領(lǐng)域從業(yè)者、NETSTARS CTO陳斌告訴深燃，這種郵件詐騙方式又叫“釣魚”，近20來(lái)年一直存在，且非常猖獗。他解釋，大多數(shù)人每天都會(huì)收到很多類似的郵件，如銀行有一個(gè)需要確認(rèn)的信息、某商家發(fā)放了優(yōu)惠券。

“只要點(diǎn)了對(duì)應(yīng)的鏈接，‘釣魚’的程序就可能下載到用戶的系統(tǒng)里，隨后電腦瀏覽器就會(huì)被黑客的軟件腳本掃描。要是用戶在很多網(wǎng)頁(yè)設(shè)置記住密碼，這個(gè)密碼就在瀏覽器的某個(gè)文件上，黑客就會(huì)把那個(gè)文件拖出來(lái)，得到密碼。”他解釋。

很多人的郵箱密碼就這樣輕易被黑客獲取。陳斌補(bǔ)充，還有一種軟件比較高明，可以聽用戶在鍵盤上輸入的聲音?！凹偃缒愕卿浤骋粋€(gè)銀行系統(tǒng)，系統(tǒng)會(huì)聽你按鍵盤輸入密碼的聲音，把結(jié)果返回給釣魚的人，你的賬戶密碼可能就被泄露了?！?/p>

成功獲取一個(gè)密碼后，黑客通常還會(huì)去“撞庫(kù)”，因?yàn)橛械娜肃]箱、銀行卡等各種賬戶用著一樣的密碼。所謂的釣魚兩階段，就是先釣到密碼，然后再去撞用戶的有價(jià)值的資產(chǎn)賬戶。另一位技術(shù)專家張銳表示，黑客會(huì)用密碼本通過(guò)技術(shù)手段不斷登錄各種網(wǎng)頁(yè)，把登錄成功的記下來(lái)，然后是“拖庫(kù)”，用黑客手段進(jìn)入數(shù)據(jù)庫(kù)，拖走用戶名和密碼 。還有一種方式叫“社會(huì)工程學(xué)”，即黑客獲取一個(gè)賬戶密碼后， 偽造各種身份跟目標(biāo)人物聊天，把密碼問(wèn)出來(lái)。

我們以郵箱為例，如果郵箱被盜的員工有給全員發(fā)郵件的權(quán)限，黑客可能利用這個(gè)郵箱發(fā)全員信。而且黑客可以更改郵箱地址，張銳提到，有一種方式是“偽造郵件網(wǎng)關(guān)”，就是對(duì)一些安全級(jí)別不高的郵件服務(wù)器，用技術(shù)手段在發(fā)送郵件時(shí)將來(lái)源偽造成指定的郵箱地址。

假如黑客獲取的員工郵箱沒有權(quán)限給全公司員工發(fā)郵件，想要攻下公司財(cái)務(wù)部負(fù)責(zé)人的郵箱也不難。陳斌舉例，黑客可以冒充該員工給公司財(cái)務(wù)部負(fù)責(zé)人發(fā)郵件，假裝咨詢事情，只要財(cái)務(wù)部負(fù)責(zé)人點(diǎn)了設(shè)定好的鏈接，黑客又可以通過(guò)前文所述的方式獲取公司財(cái)務(wù)部郵箱的密碼，冒用財(cái)務(wù)部的權(quán)限來(lái)發(fā)全員郵件。

至于最后黑客冒充公司給員工發(fā)郵件騙取信息的套路也有很多，陳斌提到，有騙子假裝公司發(fā)出類似“為了加強(qiáng)公司信息安全，所有人今天都要把某某賬戶的舊密碼換成新密碼”，換密碼的時(shí)候系統(tǒng)提示先輸入舊密碼，再輸入新密碼，這樣騙子就把用戶的兩個(gè)密碼都掌握了。

獲取密碼的下一步是拿到資產(chǎn)。某技術(shù)類大廠員工瑞奇解釋，銀行卡上的錢被劃走分兩類，轉(zhuǎn)賬或消費(fèi)。如果是轉(zhuǎn)賬稍微麻煩點(diǎn)，大部分需要要授權(quán)，比如密碼、驗(yàn)證碼之類；消費(fèi)更簡(jiǎn)單點(diǎn)，不一定要輸入銀行卡綁定的手機(jī)驗(yàn)證碼。

這里面又分兩種情況，一種是騙子通過(guò)一定的技巧獲取用戶信任，得到了銀行卡號(hào)、密碼、驗(yàn)證碼等個(gè)人信息，這樣拿走卡內(nèi)資產(chǎn)就相當(dāng)容易了。還有一種是，騙子只是獲取了用戶的銀行卡號(hào)，通過(guò)“撞庫(kù)”獲取了密碼，再加上一些銀行的網(wǎng)頁(yè)版，沒有驗(yàn)證功能，有賬號(hào)密碼直接登錄就可以，也可能劃走銀行卡里的錢。

就這樣，從點(diǎn)擊一封垃圾郵件或一個(gè)不明鏈接，到自己的賬戶被盜，再到銀行卡的錢被轉(zhuǎn)走，一條完整的路徑就出來(lái)了。

信任基礎(chǔ)上的詐騙最難防

很多人可能會(huì)質(zhì)疑，堂堂搞技術(shù)出身的互聯(lián)網(wǎng)大廠，郵箱就這么容易被攻破嗎？大廠員工警惕性這么差嗎？

很多網(wǎng)友也反饋稱，是因?yàn)榭吹洁]件顯示的是搜狐內(nèi)部域名。這中間又引出了一個(gè)重要話題，那就是大廠郵箱的安全性措施。

陳斌提到，一般大公司都會(huì)有反釣魚軟件，外部可能的垃圾郵件或病毒郵件進(jìn)入員工郵箱的過(guò)程中，就被公司的郵件攔截了，也有的反釣魚軟件是在員工點(diǎn)開郵件的時(shí)候，同步掃描，提示該郵件是否存在風(fēng)險(xiǎn)。

但問(wèn)題在于，“用外部郵箱發(fā)的風(fēng)險(xiǎn)郵件可能被公司的系統(tǒng)攔截，而用員工的郵箱發(fā)，地址是內(nèi)部的，很可能繞過(guò)公司對(duì)釣魚軟件的攔截?！比鹌嬲f(shuō)。

這樣的事件發(fā)生之后，誰(shuí)該來(lái)?yè)?dān)責(zé)？

李圣告訴深燃，公司內(nèi)部郵箱被盜導(dǎo)致員工被騙，首先要找實(shí)施盜取郵箱、錢款行為的人追責(zé)；其次，大型互聯(lián)網(wǎng)公司肯定有專門的網(wǎng)絡(luò)安全部門，公司可以內(nèi)部追責(zé)；另外，如果公司在操作或管理上存在明顯疏漏，也需要承擔(dān)相應(yīng)責(zé)任。

“具體來(lái)看，需要看公司是否盡到了必要的網(wǎng)絡(luò)安全管理職責(zé)，比如是否定期審核系統(tǒng)平臺(tái)的安全策略、定期評(píng)估網(wǎng)絡(luò)風(fēng)險(xiǎn)，公司的信息安全技術(shù)規(guī)范、標(biāo)準(zhǔn)和管理制度是否完善，公司是否關(guān)注最新的網(wǎng)絡(luò)安全漏洞、病毒公告、攻擊方式并及時(shí)采取防范措施等等?！?/p>

對(duì)公司來(lái)說(shuō)，“搜狐作為知名的互聯(lián)網(wǎng)科技公司，其內(nèi)部郵箱被盜必定會(huì)使大眾對(duì)其網(wǎng)絡(luò)科技水平產(chǎn)生質(zhì)疑，對(duì)公司形象造成的負(fù)面影響，搜狐可以要求黑客對(duì)由此造成的經(jīng)濟(jì)損失進(jìn)行賠償。被騙員工在不存在明顯過(guò)失的情況下，可以要求公司先進(jìn)行相應(yīng)的補(bǔ)償，在追回款項(xiàng)后，公司可以向黑客進(jìn)行追償。”李圣說(shuō)。

在量刑上，李圣提到，以發(fā)放補(bǔ)貼的名義騙取員工銀行卡號(hào)，劃走卡內(nèi)錢款，達(dá)到一定金額的，構(gòu)成詐騙罪，本案雖然被騙金額未超過(guò)5萬(wàn)元，但利用電信網(wǎng)絡(luò)技術(shù)手段詐騙公私財(cái)物價(jià)值三萬(wàn)元以上的，已經(jīng)達(dá)到了刑法第266條詐騙罪中“數(shù)額巨大”的程度?！白靼刚呱嫦訕?gòu)成非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)、非法控制計(jì)算機(jī)信息系統(tǒng)罪以及詐騙罪，需要對(duì)此承擔(dān)相應(yīng)的刑事責(zé)任?！?/p>

最后，再次提醒所有人，警惕詐騙，要從方方方面做起。

結(jié)合多位技術(shù)專家的觀點(diǎn)，首先要看清楚收到的郵件和短信等信息。一個(gè)商家或企業(yè)發(fā)來(lái)的信息，郵件域名應(yīng)該是這個(gè)企業(yè)的名稱，要檢查發(fā)件人的地址是不是真實(shí)，打開的網(wǎng)頁(yè)網(wǎng)址是不是正規(guī)。

其次，個(gè)人賬戶安全方面，“很多用戶的密碼設(shè)置得太簡(jiǎn)單，大部分人用的是自己和家人的姓名、生日、紀(jì)念日、電話號(hào)碼等，這些信息用各種手段都很容易獲取，再用技術(shù)規(guī)則不斷試就行了?！睆堜J說(shuō)。

為了賬戶安全，除了重視密碼設(shè)置，還要做銀行卡安全設(shè)置，比如超過(guò)一定數(shù)額的轉(zhuǎn)賬需要人臉識(shí)別或者語(yǔ)音確認(rèn)；不到必須的時(shí)候，不提供完整銀行卡號(hào)，只提供卡號(hào)的前四位和后四位數(shù)；掃描二維碼的時(shí)候注意看屏幕提示，跟場(chǎng)景不對(duì)的不要點(diǎn)確定，不掃來(lái)源不明的碼。

李圣也提醒，陌生人通過(guò)網(wǎng)絡(luò)、短信、電話等方式要求轉(zhuǎn)賬匯款的，一律不要聽信；短信、社交軟件上陌生人發(fā)來(lái)的各種鏈接一律不要點(diǎn)擊；不要輕信天上掉餡餅的中獎(jiǎng)信息、高息貸款信息；最后，不要輕易將自己或家人的身份信息、聯(lián)系方式等泄露給他人，遇到疑似詐騙信息時(shí)，要多方查證，避免上當(dāng)。

但，所有的避坑方式，都很難解決在信任基礎(chǔ)上的詐騙。像搜狐員工事件，就是因?yàn)椴糠謫T工相信了這是來(lái)自公司的信息。“安全性是個(gè)對(duì)抗問(wèn)題，利益足夠大的時(shí)候，就會(huì)有高手盯上，雙方相互出招拆招?！睆堜J說(shuō)。我們能做的，只有萬(wàn)分警惕，擦亮眼睛。

應(yīng)受訪者要求，文中張銳、瑞奇為化名。