搜狐员工遭遇工资补助诈骗，企业到底该如何防范钓鱼邮件？

网传截图

近日，网传搜狐全体员工于5月18日凌晨收到一封来自公司内部名为《5月份员工工资补助通知》的邮件，部分员工按邮件引导进行了扫码、填写银行卡号等操作，最终导致共24名员工被骗取四万余元人民币。

张朝阳个人微博

对此，搜狐公司CEO张朝阳在个人微博上回应称，本次事件系某员工内部邮箱账密被盗所致，不涉及对用户个人提供的公共服务，且事发后技术部门第一时间介入并开展了应急响应工作。随后搜狐发表公开声明，未来将持续升级网络安全技术，维护公司和个人的网络安全，更好地提供网络服务。

1.钓鱼邮件如何盗走工资卡余额？

不少网友都在问，只是简单的点了一下邮件，都没刷脸或授权，银行卡的余额究竟是怎么转走的呢？单从本次事件来说，从搜狐内部员工邮箱账密被盗到最终构成24名员工共计4万余元损失，经历了以下“诱导”步骤：

全体员工工作日早晨收到公司内部域名后缀邮件邮件内容为《5月份员工工资补助通知》附件内含领取操作：包括扫码、填写银行卡号等

如今疫情当下经济形势严峻，全国各地各类补助发放的消息铺天盖地，很容易以假乱真。加上看到是由公司内部域名后缀发出的邮件，更让人无法轻易判断，而填写姓名、电话、银行卡号等基本信息更是公司报销、领津贴的常规操作，殊不知最大的问题出在扫码。邮件附件的二维码中，含有已植入的木马病毒，可以自动劫持手机验证码。通过基本信息和验证码，黑客可以轻而易举转走卡里的余额。

2.钓鱼邮件防不胜防

源自Coremail

据2022Q1Coremail企业邮箱安全报告，2021年至今，钓鱼邮件发送数量持续增长，相较去年同期增长高达81.31%，平均每天67万封钓鱼邮件被收发，钓鱼邮件攻击已成为邮件系统的主要威胁之一。

通常，钓鱼邮件惯用的手段有：

冒充公司领导，要求提供邮箱账密；冒充邮箱服务商客服，提示邮箱异常、容量升级、安全警告等系统消息；假冒退订、退信邮件，要求输入账密解除退订；利用邮件附件内容诱导下载中毒；冒充电子发票网站，要求扫码领取电子发票；伪装外贸电商，要求更新或确认收货地址。

尤其是外贸、零售行业，钓鱼软件诈骗行为屡见不鲜。此前较为典型的是，亚马逊平台每逢购物热季，大量顾客都会收到黑客假冒平台发出的虚假发货通知链接，并通过此类发布恶意软件、诱导用户填写个人隐私信息。而本次事件涉及到的工资补助、福利补贴类钓鱼邮件比较特殊，伴随国内疫情的发展而逐渐兴起，这不仅给搜狐员工带来了财务损失，同时也给国内公司敲响了防范企业邮箱安全的警钟。

3.钓鱼邮件防范指南

先讲个与钓鱼邮件相关的小故事，Google作为零信任最早的实践者，据说早期因为一名雇员在工作时不小心点了一封恶意邮件，进而导致内部重要信息泄露；于是Google在2011年前后开展了BeyondCorp项目，并在2014年发表了著名的BeyondCorp零信任安全模型系列论文。

在本次搜狐事件中，事发的原因是内部员工账密被盗、身份被冒用所致，而强调“身份”，正是零信任安全架构的基础和核心所在。端隐零信任系列产品专为企业终端设备、员工身份、网络设备及应用资源4类资产提供1整套智能身份体系，除了能为用户提供OTP动态口令、指纹识别、FaceID等多因素强身份验证，同时还能持续从访问环境、设备、操作等多方面实时监测用户的访问行为；如涉及异常操作行为时将触发二次认证或安全告警，系统将要求用户进行二次认证，通过后才能完成操作。

作为个人，平时在使用邮件的过程中应注意：

收到邮件时仔细甄别发件人、域名等基础信息；对邮件内容存疑先咨询公司内部有关人员；抛弃弱口令密码，养成定期修改密码的习惯；不填写任何与个人账户、隐私相关的信息；不轻易点开或下载邮件中的附件和未知链接。

而作为企业，未来在防范钓鱼/恶意邮件此类社会工程攻击时，除了可以考虑将现有网络架构升级成零信任安全架构，同时也需要定期做好内部安全培训并进行实战攻防演习，提升整体安全意识。