25日，“搜狐全体员工遭遇工资补助诈骗”冲上微博热搜第一。

  一份流传网络的聊天记录显示，搜狐全体员工在5月18日早晨收到一封来自“搜狐财务部”名为《5月份员工工资补助通知》的邮件。聊天记录称，不少员工受骗，工资卡余额被划走。据记者向多位搜狐内部员工确认，确实收到了上述诈骗邮件。

  当天，搜狐通过官方微博回应称，经调查，某员工使用邮件时被意外钓鱼导致密码泄露，进而被冒充财务部盗发邮件。事发后，公司IT及安全部门第一时间做了紧急处理，并向公安机关报案。据统计，共有24名员工被骗取4万余元人民币。

  记者采访多位业内专家发现，类似的“工资补贴”邮件是一种常见的钓鱼诈骗，操作起来几乎没有技术难度。另外，在电商平台上也能轻易购买到此类服务，盗用他人信息发送虚假邮件，已成为一条隐蔽的黑灰产业链。

  一封邮件如何大肆“钓鱼”

  25日中午，搜狐CEO张朝阳第一时间发微博回应“员工遭诈骗”事件。

  他提到，背后原因是搜狐某员工的内部邮箱密码被盗，盗贼冒充财务部发信给员工。另外，此次发送诈骗邮件的不涉及对公共服务的个人邮箱。

  记者发现，类似以“工资补贴”为由头的诈骗邮件在企业内部并不罕见。今年2月份，B站也曾流传出“诈骗邮件”的截图。知情人士向记者透露，该邮件通过群发形式传播到全体员工，多位员工受骗，总计受骗金额数万元。网络流传截图显示，东风汽车、美的、芒果传媒等公司纷纷“中枪”，都有员工反映称收到假冒公司官方的钓鱼诈骗邮件。

  不少网友疑惑，搜狐作为提供邮箱服务的专业企业，为何也会遇到群发“钓鱼”邮件的诈骗事件？

  奇安信行业安全研究中心主任裴智勇表示，邮件攻击，是针对企业最简单但也最有效、最具迷惑性的攻击方法。据他推测，搜狐的案例很有可能是一起典型的OA钓鱼攻击事件。

  “通常情况下，这种攻击的过程大致是这样的：攻击者首先盗取或恶意注册了一个公司内部邮箱，之后再用这个邮箱发邮件给其他员工，诱骗其在钓鱼网站（仿冒的公司邮件登录页面）上输入账号和密码，从而骗取邮箱密码。攻击者盗取内部邮箱账号的过程，很有可能也是通过另一封钓鱼邮件完成的。”裴智勇说。

  那么，这类邮件在公司内部群发时，有没有可能被安全系统过滤掉？

  裴智勇介绍，电子邮件本身是一个攻击成本低，但防护有难度的互联网服务。攻击者只需要知道内部员工的邮箱地址，就可以通过任意一个电子邮箱发送钓鱼或带毒邮件给受害者，而不需要了解企业的网络结构或内部系统。正是由于电子邮件系统的这一特点，很多网络战组织、黑产团伙，都会首选电子邮箱作为发起攻击的起点。

  花800元可任意更改发件人

  “钓鱼邮件”存在已久，并非新型诈骗形式。虽然员工受骗是通过钓鱼网站，但是博得其信任的关键在于邮箱后缀名来源于公司，这又是如何做到的？

  记者了解到，有许多方式可以实现换邮箱的效果，其中较常用的是使用邮件代理。裴智勇介绍，所谓的邮件代理指的是软件先把邮件截下来发送到某个受控邮箱，再由受控邮箱把邮件正文截下来，之后把邮件转发给原定的收件人。这样，收件人看到的发件人就是代理邮箱或中转邮箱发出的邮件，而不是原始邮箱，从而使原始的发件邮箱被隐藏。

  “通过伪造发件协议和更改传输信息，可以轻易更改邮箱地址，从而实现从任意一个地址发送邮件。”曲子龙表示。至于背后的原理，可以形象类比为寄快递，目前国内大部分邮箱系统均无法正确识别发信人伪造攻击。“填写寄件单的时候，一般快递员更关注收件信息，不会对寄件人信息进行充分核查，这就意味着寄件人信息有充分的造假空间。”

  类似的邮件代理服务，已在电商平台上形成隐蔽的黑灰产业链。记者以“修改邮箱发件人”“虚拟邮箱”“改地址”等关键词在各大电商平台搜索发现，伪造邮件发送地址的服务可以轻易购买。一位商家向记者表示，无论是发件地址、时间还是发件人名称均可修改，价格约为800元/封，如果添加附件，还需要200元的服务费。

  “800元，这么贵？”当记者询问时，商家回应：“用别人邮箱发，你自己想想，800贵吗？”

  另一位业内人士向记者展示，只需要购买相应服务器，就可以实现任意邮件地址发送电子邮件。页面中特别标注：“如果您使用本工具发送任何违反法律法规邮件，与本站无关。”

  多地发布相关提示超50条

  要彻底清除被“钓鱼”风险，除了企业要提升风控能力外，员工个人也要加强安全风险意识。 “实际上，我们默认黑客是可以轻易获取某个人的个人密码和登录信息的。”腾讯安全专家李铁军告诉记者。“因为人们经常使用一个密码用于多种场景，因此一旦其中部分密码泄露，意味着所有密码都泄露了，破解难度并不高。”

  李铁军认为，员工平时应该尽量不要使用过于简单的密码，也不要用同一密码应用不同场景。“这个案例只是手机扫码后访问了一个钓鱼网站，影响相对较小。更严重的是，打开网站时公司内部系统可能会自动安装后门程序，释放病毒，导致整个内部网络瘫痪，后续影响可能更为不堪设想。”

  尽管钓鱼邮件并不鲜见，但是记者观察到，疫情以来，随着居家办公频率增高，类似的诈骗案件有增多趋势。多地公安机关、反诈中心也关注到此事，并给出提示。据记者搜索官方微博、微信等平台进行不完全统计，今年以来，包括吉林、内蒙古、青海、河南、江苏、浙江、上海、福建、广东等省市的近百家公安机关和反诈中心都曾通过微信、微博等平台发出过警惕“补贴骗局”的公告，数量超过50条。

  今年2月24日，江苏省公安厅在官网转载了南京市公安局的安全防范提示，其中特别解析“领取补贴”为名的诈骗邮件的套路：犯罪嫌疑人先以技术手段攻破企业邮箱，后以人事、财务部门名义发送假通知，诱导员工填入身份证号、银行卡号、预留手机号、卡内余额等信息。紧接着，嫌疑人根据银行卡余额确定诈骗的“目标金额”，迅速网购便于变现的充值卡等虚拟物品，并再次套取银行发送的付款短信验证码，从而实现盗刷。

  全国多地反诈中心都给出了相近的四点提示：仔细甄别信息真假；通过官方途径了解相关信息；96110（反诈专线）来电请立即接听，要下载安装国家反诈中心App。国家反诈中心也将反诈总结成为“三不一多”原则口诀：未知链接不点击，陌生电话不轻信，个人信息不透露，转账汇款多核实。

  此外，除公安机关与反诈中心外，今年以来全国多地的法院检察院、人社部门、银保监部门、多家银行以及高等院校和研究机构也都曾发布关于钓鱼邮件的诈骗防范提示。3月15日，人力资源和社会保障部在官方微信辟谣了“2022补贴”，并提示公众别被诈骗信息忽悠了。