近日,一份流传网络的聊天记录显示,搜狐全体员工在5月18日早晨收到一封来自“搜狐财务部”名为《5月份员工工资补助通知》的邮件。聊天记录称,不少员工受骗,工资卡余额被划走。
据澎湃新闻记者向多位搜狐内部员工确认,确实收到了上述诈骗邮件。
5月25日午间,搜狐CEO张朝阳发微博回应称,事情不像大家想的那么严重。他表示,事件起因是搜狐一个员工的内部邮箱密码被盗,盗贼冒充财务部发信给员工。公司发现后,技术部门紧急处理,资金损失总额少于5万元。另外,此次发送诈骗邮件的不涉及对公共服务的个人邮箱 [email protected].
根据记者调查发现,此类“钓鱼”诈骗邮件在互联网大厂较为常见,多家企业曾经“中招”。另外,伪造发件地址的成本极低,几乎不需要技术门槛,甚至在电商平台上也能轻易购买到此类服务,背后隐藏着极大的安全隐患。
“诈骗邮件”通过内网群发至全体员工,多大厂曾有发生
一位搜狐员工告诉澎湃新闻,公司已通过技术删除了员工邮箱内的这封邮件,目前已经看不到这封邮件。搜狐相关部门也已经在各个群内提醒员工该邮件为诈骗邮件。
“因为邮件后缀是公司邮箱,少了很多防备心理。”另一名员工表示,该邮件通过链接形式提供引导,要求员工填写银行卡号和手机号等个人信息。“平时报销也会提供银行卡号,所以没有特别在意。”
网传搜狐内网诈骗邮件截图
值得注意的是,类似的诈骗邮件,并不仅仅发生在搜狐一家。
据澎湃新闻记者从各互联网企业内部人士了解,多家企业此前也发生过类似情况。今年2月份,B站也曾流传出“诈骗邮件”的截图。知情人士向记者透露,该邮件通过群发形式传播到全体员工,多位员工受骗,总计受骗金额数万元,虽然受骗员工数量不是很多,但是传播范围很广。
该知情人士透露,可能的原因是某公司员工的电脑接触了病毒,从而导致信息泄露。
根据网络流传截图显示,东风汽车、美的、芒果传媒等公司纷纷“中枪”,都有员工在网络反映称收到假冒公司官方的钓鱼诈骗邮件。
对此,澎湃新闻记者向美的、芒果传媒相关负责人求证,截至发稿尚未得到回复。
被“钓鱼”后大厂是否应赔偿员工?律师意见不一
对于此类“钓鱼”诈骗行为,企业应该如何防范?奇安信行业安全研究中心主任裴智勇表示,企业应该部署邮件安全系统或邮件威胁识别系统。类似的攻击事件经常发生,每年被盗的各类邮箱账号数以百万计,这都是安全管理疏忽的表现。而员工被钓鱼邮件所骗,也是自身安全意识不足的体现。
“除此之外,还要经常进行员工安全意识教育,进行各类实战攻防演习。同时,企业邮箱系统需要开启强制弱口令检测,强制定期改密码,以最大限度的减轻邮箱盗号风险。”裴智勇认为。
在律师看来,未经许可盗取企业内部信息的行为,已经触犯了法律。
“这一行为涉嫌非法获取计算机信息系统数据或非法控制计算机信息系统罪。”上海申伦律师事务所律师夏海龙告诉澎湃新闻记者。“冒充公司人员,以发放工资补贴的名义骗取员工银行卡号、身份证号码等个人信息的行为涉嫌侵犯公民个人信息罪,如果行为人最终利用所获取的个人信息诈骗得逞,则构成诈骗罪。”
上海市汇业律师事务所王一川则认为,根据我国《刑法》和相关司法解释的规定,诈骗金额在3000元至1万元以上,3万元至10万元以上、50万元以上的,应当分别认定为“数额较大”、“数额巨大”、“数额特别巨大”,分别对应的量刑幅度为三年以下有期徒刑、拘役或者管制;三年以上十年以下有期徒刑;十年以上有期徒刑或者无期徒刑三个档次。
发现自己受骗之后,员工应该如何及时止损?夏海龙表示,发现骗局后,员工应当第一时间停止支付,并保留相关证据向公司反馈或报警。“公司邮箱后缀所发送的邮件对员工具有极高的公信力,一旦被不法分子利用实施诈骗,员工必定缺乏相应防范意识,极易受骗。”
值得关注的是,员工被诈骗后的损失,公司是否需要承担?律师对此意见不一。夏海龙认为,无论公司是否采取足够的网络安全防护措施,都应当对系统被入侵造成的后果承担主要责任,在员工不存在明显过失的情况下,应当首先向员工赔偿被骗损失。
王一川表示,这类钓鱼邮件很难完全屏蔽,只要不具备法律上的过错,公司就无需承担法律责任。但是建议公司尽量购买企业邮箱,并经常保持对公司邮件核查,第一时间发现疑似诈骗邮件并及时提醒员工,避免误点。此外,公司也可以开展电信网络诈骗防范教育培训,提高员工的法律意识和自我保护意识。