互联网诈骗盯上互联网公司,搜狐24人被骗四万多元!企业内部邮箱为何失守?
今日,“搜狐全体员工遭遇工资补助诈骗”的话题词冲上热搜,引发网友热议。互联网公司竟然遭遇网络诈骗,员工工资卡内余额被划走,涉案金额巨大?https://p3-sign.toutiaoimg.com/tos-cn-i-tjoges91tu/T6qCn32CDl299U~tplv-tt-large.image?x-expires=1970170011&x-signature=PW50rGVtTcoAnJqW1r7yQaQNkQA%3D
事件回顾:
搜狐全体员工遭遇工资补助诈骗?
张朝阳:没那么严重,总损失少于5万元
据网络流传的一份聊天记录显示,搜狐全体员工在5月18日早晨收到一封来自“搜狐财务部”名为《5月份员工工资补助通知》的邮件,大量员工按照附件要求扫码,并填写了银行账号等信息,最终不但没有等到所谓的补助,工资卡内的余额也被划走。
https://p3-sign.toutiaoimg.com/tos-cn-i-tjoges91tu/T6qCn69EtjlUAU~tplv-tt-large.image?x-expires=1970170011&x-signature=mx2%2F5Enru86VwjefgOMlIeWmo08%3D
https://p3-sign.toutiaoimg.com/tos-cn-i-tjoges91tu/T6nwXOo1dTbdnX~tplv-tt-large.image?x-expires=1970170011&x-signature=sLSQSRqi4KoxJ2%2FjxNpKjgBK0SQ%3D
该事件一出,瞬间冲上热搜榜一,网民在同情打工人的同时也纷纷感叹,工资补助直接戳中打工人的软肋,邮件又是从内部发的,让人防不胜防。还有人质疑,只填写银行卡信息也会被盗刷吗?诈骗团伙手段也升级了?
据搜狐员工透露截图中所称的“几乎所有员工都点了”和“人数、金额巨大”两点内容并不准确。实际上不是全体员工都被骗了,只是全体员工都收到了邮件,只有部分员工扫码被盗刷了。
对于被骗经过,该员工称:“自己填了银行卡号,输了验证码,这个验证码是正规途径验证码,看不出破绽的,我手机下载了反诈app也没提醒。后来警方推荐我下了一个全民反诈的app。”
今日午间,搜狐董事局主席兼 CEO 张朝阳发微博回应称,事情不像大家想象那么严重,据他所言,搜狐一个员工的内部邮箱密码被盗,盗贼冒充财务部发信给员工,发现后技术部门紧急处理,资金损失总额少于5万元,并且不涉及对公共服务的个人邮箱 xyz@sohu. com。
https://p3-sign.toutiaoimg.com/tos-cn-i-tjoges91tu/T6qCn6mCGY5cKE~tplv-tt-large.image?x-expires=1970170011&x-signature=Ywn8Eu9eO%2BUnfD2gxEhnMAAXhY4%3D
随后搜狐官方也对此事进行了回应,经调查,实为某员工使用邮件时被意外钓鱼导致密码泄露,进而被冒充财务部盗发邮件。事发后,公司IT及安全部门第一时间做了紧急处理。并向公安机关报案。据统计,共有24名员工被骗取四万余元人民币。目前正在等待警方的调查进展和处理结果。
https://p3-sign.toutiaoimg.com/tos-cn-i-tjoges91tu/T6qCn7J4R30zzi~tplv-tt-large.image?x-expires=1970170011&x-signature=qTVAjiZTLULpjn9XsTggro5Tb34%3D
“一看是内部邮箱,想都没想就填了”
“邮箱诈骗”是如何实现的?
仅靠一封邮件,诈骗分子是如何得逞的?张朝阳以及搜狐的回应,部分还原了这起邮件诈骗的过程。
据中新经纬报道,奇安信行业安全研究中心主任裴智勇表示,邮件攻击,是针对企业最简单但也最有效、最具迷惑性的攻击方法。目前搜狐方面没有具体说明诈骗过程。据裴智勇推测,搜狐的案例很有可能是一起典型的OA钓鱼攻击事件。
“通常情况下,这种攻击的过程大致是这样的:攻击者首先盗取或恶意注册了一个公司内部邮箱,之后再用这个邮箱发邮件给其他员工,诱骗其在钓鱼网站(仿冒的公司邮件登录页面)上输入账号和密码,从而骗取邮箱密码。攻击者盗取内部邮箱账号的过程,很有可能也是通过另一封钓鱼邮件完成的。”裴智勇说。
那么,这类邮件在公司内部群发时,有没有可能被安全系统过滤掉?
裴智勇介绍,电子邮件本身是一个攻击成本低,但防护有难度的互联网服务。攻击者只需要知道内部员工的邮箱地址,就可以通过任意一个电子邮箱发送钓鱼或带毒邮件给受害者,而不需要了解企业的网络结构或内部系统。正是由于电子邮件系统的这一特点,很多网络战组织、黑产团伙,都会首选电子邮箱作为发起攻击的起点。
如何防范?
别光看热闹,先下载反诈APP
上游新闻查询发现,从去年以来,全国各地警方都曾发布过预警提示,但被骗案例仍时有发生。
https://p3-sign.toutiaoimg.com/tos-cn-i-tjoges91tu/T6qCnY33kIlx0j~tplv-tt-large.image?x-expires=1970170011&x-signature=aXOqk1SWzVcbtn7e77rTmgr64xo%3D
回顾搜狐这些员工被骗的整个过程可以看到,诈骗团伙瞄准打工人的软肋,直接用“工资补贴、福利”等关键词进行诱导,再加上邮件是从公司内部邮箱账号发出,故容易让员工产生信任感,最终导致上当受骗。
近年来新型诈骗案例层出不穷,令人防不胜防。
诈骗团伙通过电话、网络和短信方式,编造虚假信息,设置骗局,对受害人实施远程、非接触式诈骗,诱使受害人转账的诈骗行为。电信诈骗案件频发,给当事人造成了财产损失,社会影响恶劣。
在2017年的一部电影《巨额来电》中,就曾揭露了电信诈骗集团的整条黑色产业链,短短几分钟,一个电话就能摧毁一个家庭。
https://p3-sign.toutiaoimg.com/tos-cn-i-tjoges91tu/T6qCnYgAGeHKc6~tplv-tt-large.image?x-expires=1970170011&x-signature=R4o%2Bcs6yn8HhDHLNlP6eH65hpXM%3D
至于如何防范这种新型的诈骗技术,警方提示,在接到此类邮件时可以向企业财务进行核实,切不可盲目填写个人银行卡等信息,以防被骗。此外需要注意的是,领取任何补贴都无需提供银行卡密码、手机验证码,这是钱财的最后一道防火墙,切勿告知他人。
与此同时,企业方面也需要定期检查内部邮箱登录模式、改设复杂密码、开通安全认证,并教育员工提高自我保护意识。
公安机关曾经总结过行之有效的反诈措施:不贪心,不轻信,不透露,不给钱,非常实用,关键就是要在任何时刻都牢牢记住,绝不侥幸,让“反诈”两个字时刻深印于脑海,落实于言行,不给诈骗分子一丝一毫的可乘之机。
所以,别忙着看搜狐的热闹了,赶紧先检查一下自己的手机,下载国家反诈APP了吗?
上游新闻综合
页:
[1]