一封钓鱼邮件，让搜狐和张朝阳上了热搜

一石激起千层浪。消息一在网络传开，便引发诸多谈论。我们的诸子云甲方安全群中，也有许多业内人士对钓鱼邮件的方式和防范措施做了互动交流，当然这种闲聊比较随意，我们放出一部分聊天记录，旨在看看各家企业在此方面尝试过的方式，继而引起更多的思考与提防，如有言辞不妥之处，还请不必咬文嚼字。

明眼人一见便知，搜狐公司员工遭遇了网络上最常见的钓鱼诈骗方式，但是此次的诈骗手法还是相当高明。

据悉，发送钓鱼邮件的邮箱显示为搜狐公司内部域名，搜狐公司平时报销也存在需要员工银行账号的惯例，加上员工之间本身就有薪资保密的义务，平时大家基本都不讨论薪资。搜狐几乎所有的员工都没有对邮件内容产生怀疑，这才导致传言中说“被骗人数和涉案金额巨大”，但是不是金额巨大，下文有说明。

网传搜狐内网诈骗邮件截图

一名搜狐员工的说法，证实了上述媒体报道的内容。该员工表示，钓鱼邮件通过链接形式提供引导，要求员工填写银行卡号和手机号等个人信息。“因为邮件后缀是公司邮箱，少了很多防备心理。”“平时报销也会提供银行卡号，所以没有特别在意。”

聊天记录显示，事后搜狐迅速采取行动，在18号早晨9点发布全员预警，请员工不要点击该钓鱼邮件。并立即通过技术删除了员工邮箱内的这封邮件，员工在邮箱中已经看不到这封邮件。搜狐相关部门也已经在各个群内提醒员工该邮件为诈骗邮件，并由ES部门出面汇总遭遇诈骗员工的信息到派出所报案。

此次事件能够登上热搜，大概与搜狐产品服务性质不无关系。据悉，邮箱业务是搜狐传统业务之一，该业务下分sohu免费邮箱、sohuVIP邮箱、sohu企业邮箱等，搜狐电子邮箱服务也是国内最大的邮箱服务商之一。所以此次搜狐自身内网邮箱遭到攻击，自然备受关注，同时也让邮箱安全问题再度发人深思。

据媒体报道，业内权威专家也表达了类似的观点：“企业应该部署邮件安全系统或邮件威胁识别系统。本次事件关联的企业，本身也是国内领先的邮件服务商，此类系统可能也是健全的。只不过，钓鱼邮件本身确实很难识别，难免会有漏网之鱼。”

面对热议沸腾的网络，搜狐员工到底损失了多少呢。在5月25日11时，搜狐公司CEO张朝阳发表微博称，事情并没有大家想象的那么严重，事件起因是是一名搜狐员工的内部邮箱密码被盗，盗贼冒充财务部发信给员工。技术部门发现后紧急处理，总体资金损失总额少于5万元。该事件并不涉及搜狐对外的公共服务邮箱xyz@sohu.com。

若真损失总额少于5万元，那确实是不幸中的万幸。毕竟对于搜狐这么大的一家公司来说，5万元确实算不上大数额，资金层面属于风险可控。但是，这期诈骗案件的操作手法，却是让很多人不寒而栗、心有余悸。

因为，互联网上钓鱼诈骗由来已久，花样繁多。在上文网安业内人士的探讨之中，也能看到，类似工资绩效明细、保险理赔、疫情物资保障、预防天花药物、冬奥抽奖、王心凌、刘畊宏等与个人利益以及时事热点密切相关的主题，都是钓鱼邮件惯用的手段，并且成功率还相当的高。

我们在不久前曾采访过360高级攻防实验室技术负责人郑同舟，他讲述了一个故事：他们曾经在打攻防的时候，给某个员工发送了一封主题为“上半年绩效考核结果知会书”的邮件，做成了压缩文档，其内挂了木马。邮件本应发给HR，他们假装发错人，发给了那名员工。那名员工毫不犹豫打开了邮件文档，但压缩包打开会显示“文档已损坏”，同时释放木马获取内部系统权限。

即便后来他们的权限被察觉并被管理员踢出系统，那名员工仍然每天每隔一两小时，换着电脑、换着不同的操作系统执着地想要打开那封钓鱼邮件，每打开一次都是释放木马获取权限的过程。

这件钓鱼测试给了我们很大的震撼，可想而知，在网络安全中，人往往是一个非常重要的因素。并且，我们越来越感觉到，任何系统的漏洞，往往都不如人的漏洞大。

何故此言？因为人是情感性的高级动物，人的情感并不是一台逻辑精密、一成不变的系统，情感的多变性恰恰是最大的漏洞。人性存在贪婪、欲望、畏惧、私密、好奇、粗心等缺陷，只要抓住其中一点，很容易便成为突破口。

所以，正如上文中业内专家所探讨的那般，企业内部的钓鱼测试必不可少，虽然有可能最后测试结果看起来不那么美妙，但是测试久了，总能引起员工的警惕注意与防范经验，总比真被钓鱼诈骗的好。

事实上，近些年来，许多知名互联网企业都被钓鱼诈骗过，并且屡次中招，甚至钓鱼手法还都相差无几。

比如今年2月份，B站也曾流传出“诈骗邮件”的截图。据知情人士透露，该邮件通过群发形式传播到全体员工，多位员工受骗，总计受骗金额数万元，虽然受骗员工数量不是很多，但是传播范围很广。该知情人士还透露，可能的原因是某公司员工的电脑接触了病毒，从而导致信息泄露。

此外，根据网络流传截图显示，东风汽车、美的、芒果传媒等公司纷纷“中枪”，都有员工在网络反映称收到假冒公司官方的钓鱼诈骗邮件。美的内部人士称“听说了有人收到邮件，但是没听说有人遭到了损失”；东风汽车有关负责人则否认“没有听说过这个消息”。

针对钓鱼邮件诈骗，一位资深互联网安全工程师认为：“问题不仅仅出在员工安全意识淡薄，IT系统的弱点也暴露了，假定企业部署零信任系统，攻击者就不能简单窃取极个别员工ID后假冒身份群发邮件。”

该工程师还提醒道，钓鱼网站攻击不仅仅可以骗取员工钱财，还能产生其它更具破坏力的行为。“把docx的钓鱼网址换成勒索病毒，麻烦就大了。特别现在是疫情期间，员工只能居家办公，没有IT部门支持，大面积的勒索攻击恢复系统的活可能都没人干。”

曾经互联网不这么发达的年代，很多人都是遭遇短信钓鱼诈骗。其实时代在变化，很多事情万变不离其宗。如今的邮件钓鱼，与短信钓鱼并没有本质区别，只不过是传送信息的渠道发生了变化。

据媒体统计，在针对企业员工的钓鱼诈骗中，“工资补贴”的诈骗方式最为常见，并且屡次得手，追根溯源是因为很多企业均采用电子邮件作为正式通信方式，因此邮件就承担着内部文件和指示下达任务的媒介，若是带有企业域名、公司部门发送的邮件，则更容易获得员工的信任。

业内安全专家也表达了同样的观点，邮件攻击是针对企业最简单，但也最有效、最具迷惑性的攻击方法。每年被盗的各类邮箱账号数以百万计，这是安全管理疏忽的表现。

如此也难怪会有员工上当受骗。毕竟，总不能收到的每一封公司发来的邮件，都要求每名员工都致电或微信询问相关部门去核实吧，这样确实会带来很多额外的工作量。

当然，类似钓鱼诈骗实施难度也不低，无论如何，首先则需要黑产黑客掌握相关企业邮箱系统的管理缺陷或安全漏洞，通过某些方式安插木马病毒以获取账号密码或某些权限。很多企业自然知晓这个道理，所以一直以来，企业都会在邮箱安全上加大投入。

数据显示，90%的黑客攻击都是通过邮箱作为突破口，故而电子邮箱直接关系到企业的信息、数据、资产安全。

相关专家分析称，搜狐遭遇的是一起典型的OA钓鱼攻击事件。其攻击过程大致是：攻击者先盗取或恶意注册了一个公司内部邮箱，再用此邮箱发邮件给其他员工，诱骗其在钓鱼网站（仿冒的公司邮件登录页面）上输入账号和密码，从而骗取邮箱密码。攻击者盗取内部邮箱账号的过程，很有可能也是通过另一封钓鱼邮件完成。

实际上，电子邮件设计之初并未料到会有人对此攻击或被黑产利用，故而一般电子邮件多为明文传输，且无加密校验。明文传输则容易被窃取篡改。

据悉，目前大型邮件服务商，基本都设置了很多安全机制来规避邮件被盗用修改的情况，比如，收邮件的服务系统可以向发邮件的服务系统发出一些验证信息，以确认邮箱或邮件来源是否可信。不过很多企业并没有开启类似的校验功能。

一个值得探讨的问题是，员工被公司钓鱼邮件诈骗后的损失，公司是否需要承担？律师对此意见不一。

上海申伦律师事务所律师夏海龙认为，无论公司是否采取足够的网络安全防护措施，都应当对系统被入侵造成的后果承担主要责任，在员工不存在明显过失的情况下，应当首先向员工赔偿被骗损失。

上海市汇业律师事务所王一川则认为，这类钓鱼邮件很难完全屏蔽，只要不具备法律上的过错，公司就无需承担法律责任。但是建议公司尽量购买企业邮箱，并经常保持对公司邮件核查，第一时间发现疑似诈骗邮件并及时提醒员工，避免误点。此外，公司也可以开展电信网络诈骗防范教育培训，提高员工的法律意识和自我保护意识。

不管怎么样，此番搜狐钓鱼邮箱事件登上热搜，给了公众以及更多企业对防范钓鱼诈骗给出了重要的提醒，也算是坏事中的一点好事，正所谓“亡羊补牢、犹未为晚”。

因此，网安业内人士建议：企业应该部署邮件安全系统或邮件威胁识别系统，企业邮箱系统需要开启强制弱口令检测，强制定期改密码，尽可能降低邮箱盗号风险。此外还需强化员工安全意识，常态化进行员工安全意识教育，进行各类实战攻防演习。