张朝阳回应搜狐员工遇工资补助诈骗

发布时间：2022年05月26日07:47来源：武汉晚报

张朝阳微博回应。

公司微信群的聊天记录。

昨天一早，#搜狐全体员工遭遇工资补助诈骗#冲上微博热搜第一。

近日，一份流传网络的聊天记录显示，搜狐全体员工在5月18日早晨收到一封来自“搜狐财务部”名为《5月份员工工资补助通知》的邮件，大量员工按照附件要求扫码，并填写了银行账号等信息，最终不但没有等到所谓的补助，工资卡内的余额也被划走。

据记者向多位搜狐内部员工确认，确实收到了上述诈骗邮件。

昨日午间，搜狐CEO张朝阳发微博回应称，事情不像大家想的那么严重。他表示，事件起因是搜狐一个员工的内部邮箱密码被盗，盗贼冒充财务部发信给员工。公司发现后，技术部门紧急处理，资金损失总额少于5万元。

根据记者调查发现，此类“钓鱼”诈骗邮件在互联网大厂较为常见，多家企业曾经“中招”。另外，伪造发件地址的成本极低，几乎不需要技术门槛，甚至在电商平台上也能轻易购买到此类服务，背后隐藏着极大的安全隐患。

【事件】

“这么丢人的事儿”

网络公司却遭遇网络诈骗

记者询问了一位搜狐员工，对方表示，平时大家基本不讨论薪资，因为签署了薪资保密协议。

之前有消息称，搜狐公司员工遭遇了网络上最常见的诈骗方式。但因为邮件来源显示为搜狐公司内部域名，公司平时报销也存在需要员工银行账号的惯例，加上员工之间本身就有薪资保密的义务，搜狐几乎所有员工都没有对邮件内容产生怀疑，这才导致被骗。

一位搜狐员工告诉记者，公司已通过技术删除了员工邮箱内的这封邮件，目前已经看不到这封邮件。搜狐相关部门也已经在各个群内提醒员工该邮件为诈骗邮件。

“因为邮件后缀是公司邮箱，少了很多防备心理。”另一名员工表示，该邮件通过链接形式提供引导，要求员工填写银行卡号和手机号等个人信息。“平时报销也会提供银行卡号，所以没有特别在意。”

聊天记录显示，事后搜狐迅速采取了行动，包括立刻删除了相关邮件，并由ES部门出面汇总遭遇诈骗员工的信息到派出所报案。

群聊记录中搜狐员工将事件总结为“一个网络公司，被人偷了家”；还有一名员工直言：“应该不会有官方消息，这么丢人的事儿。”

昨天中午11点49分，搜狐董事局主席张朝阳通过个人微博公开了公司内部调查后的结果。

张朝阳在回应中表示，事情不像大家想象那么严重——

1、搜狐一个员工的内部邮箱密码被盗，盗贼冒充财务部发信给员工。

2、发现后技术部门紧急处理，资金损失总额少于5万元。

3、不涉及对公共服务的个人邮箱xyz@sohu.com。

从涉及金额来看，确实如张朝阳所说，“不像大家想象那么严重”，但从该起诈骗案的操作手法来说，让所有打工人都心有余悸。

昨天下午1点58分，搜狐发布声明：据统计，共有24名员工被骗取四万余元人民币。目前正在等待警方的调查进展和处理结果。

“多家大厂曾中招”

并不仅仅发生在搜狐公司

相比较过去的短信诈骗，“工资补贴”诈骗方式屡次得手，主要原因是很多企业均采用电子邮件作为正式通信方式，本就承担着内部文件和指示下达的任务，有企业域名、公司部门发送的邮件更容易获得员工的信任。

当然，类似诈骗实施难度也更高，需要犯罪者掌握相关企业邮箱系统的管理缺陷或安全漏洞，安插“病毒”获取数据。

事实上，邮箱安全事关重大本应是企业共识。数据显示，90%的黑客攻击都是通过邮箱作为突破口的，电子邮箱直接关系着企业安全。

值得注意的是，类似的诈骗邮件，并不仅仅发生在搜狐一家。

一位资深互联网安全工程师在接受记者采访时分析说，同样操作手法的诈骗案多次出现，已有多个互联网公司中招。

今年2月份，B站也曾流传出“诈骗邮件”的截图。知情人士向记者透露，该邮件通过群发形式传播到全体员工，多位员工受骗，总计受骗金额数万元，虽然受骗员工数量不是很多，但是传播范围很广。

该知情人士透露，可能的原因是某公司员工的电脑接触了病毒，从而导致信息泄露。

根据网络流传截图显示，东风汽车、美的、芒果传媒等公司纷纷“中枪”，都有员工在网络反映称收到假冒公司官方的钓鱼诈骗邮件。

对此，记者向美的、芒果传媒相关负责人求证，截至发稿尚未得到回复。

【解读】

公司是否应赔偿员工

律师意见不一

对于此类“钓鱼”诈骗行为，企业应该如何防范？

奇安信行业安全研究中心主任裴智勇表示，企业应该部署邮件安全系统或邮件威胁识别系统。类似的攻击事件经常发生，每年被盗的各类邮箱账号数以百万计，这都是安全管理疏忽的表现。而员工被钓鱼邮件所骗，也是自身安全意识不足的体现。

“除此之外，还要经常进行员工安全意识教育，进行各类实战攻防演习。同时，企业邮箱系统需要开启强制弱口令检测，强制定期改密码，以最大限度的减轻邮箱盗号风险。”裴智勇认为。

在律师看来，未经许可盗取企业内部信息的行为，已经触犯了法律。

“这一行为涉嫌非法获取计算机信息系统数据或非法控制计算机信息系统罪。”上海申伦律师事务所律师夏海龙告诉澎湃新闻记者。“冒充公司人员，以发放工资补贴的名义骗取员工银行卡号、身份证号码等个人信息的行为涉嫌侵犯公民个人信息罪，如果行为人最终利用所获取的个人信息诈骗得逞，则构成诈骗罪。”

上海市汇业律师事务所王一川则认为，根据我国《刑法》和相关司法解释的规定，诈骗金额在3000元至1万元以上，3万元至10万元以上、50万元以上的，应当分别认定为“数额较大”“数额巨大”“数额特别巨大”，分别对应的量刑幅度为三年以下有期徒刑、拘役或者管制；三年以上十年以下有期徒刑；十年以上有期徒刑或者无期徒刑三个档次。

发现自己受骗之后，员工应该如何及时止损？

夏海龙表示，发现骗局后，员工应当第一时间停止支付，并保留相关证据向公司反馈或报警。“公司邮箱后缀所发送的邮件对员工具有极高的公信力，一旦被不法分子利用实施诈骗，员工必定缺乏相应防范意识，极易受骗。”

值得关注的是，员工被诈骗后的损失，公司是否需要承担？

律师对此意见不一。夏海龙认为，无论公司是否采取足够的网络安全防护措施，都应当对系统被入侵造成的后果承担主要责任，在员工不存在明显过失的情况下，应当首先向员工赔偿被骗损失。

王一川表示，这类钓鱼邮件很难完全屏蔽，只要不具备法律上的过错，公司就无需承担法律责任。但是建议公司尽量购买企业邮箱，并经常保持对公司邮件核查，第一时间发现疑似诈骗邮件并及时提醒员工，避免误点。此外，公司也可以开展电信网络诈骗防范教育培训，提高员工的法律意识和自我保护意识。