搜狐邮箱登录入口(搜狐邮箱手机版)

5月25日，搜狐董事局主席兼首席执行官张朝阳称，“搜狐某员工内部邮箱密码被盗，小偷冒充财务部门给该员工发了一封信。发现后技术部门紧急处理，资金损失总计不到5万元。”张朝阳表示，该事件不涉及搜狐用于公共服务的个人邮箱。

随后搜狐官方微博发布声明称，5月18日凌晨，搜狐部分员工收到诈骗邮件。经调查发现，某员工在使用邮箱时不慎被钓鱼，导致密码泄露，随后冒充财务部向其发送邮件。据统计，共有24名员工被骗4万余元。目前正在等待警方的调查进展和处理结果。

果壳财经记者了解到，围绕电子邮件的诈骗并不少见，主要包括冒充上下游客户和领导同事的钓鱼攻击，包括木马，目的是窃取公司机密病毒邮件等。

安信产业安全研究中心主任齐志勇告诉果壳财经记者，就目前能看到的信息来看，这很可能是一次非常典型的OA钓鱼攻击和网络诈骗攻击相结合的连环网络攻击。

“为了防范此类攻击，企业不仅需要部署邮件安全系统，还要经常进行员工安全意识教育，进行各种实战攻防演练。同时，企业邮箱系统需要开启强制弱密码检测，定期更换密码，最大限度降低邮箱被黑的风险。”颜志勇说。

“钓鱼邮件”并不是个例，开放的系统很容易成为网络攻击的入口。

所谓OA钓鱼，就是攻击者冒充系统管理员或运维人员，向员工发送钓鱼邮件，诱骗员工在假冒的钓鱼网站上输入自己的账号和密码。一旦攻击者窃取了员工的账号和密码，他就会以员工的身份登录邮箱，然后向更多的其他员工发送诈骗邮件。

裴智勇说，对于后续受害者来说，由于邮件来自内部邮箱，可信度大大提高，最终上当受骗往往是必然的。当然，盗取邮箱账号的方式不止一种，还有很多其他方式。其实还要等相关部门的进一步调查。

搜狐表示，事件发生后，公司IT和安全部门进行了紧急处理，并向公安机关报案。目前正在等待警方的调查进展和处理结果。搜狐表示，此事件不涉及搜狐向用户提供的邮件服务。“搜狐将继续提升网络安全技术，维护公司和个人的网络安全，更好地提供网络服务。”

事实上，搜狐遭遇的“钓鱼邮件”并非个例。

2022年1月，江苏省公安厅连云港局发布警情提示，有不法分子冒充社保部门发放“社保补贴”，向受害人发送诈骗邮件。受害者点击后，银行卡被盗。2017年至今，我国外贸企业也受到了“商函”类钓鱼邮件范围的攻击。一旦用户不小心运行了钓鱼邮件的附件文档，就会被植入远程控制木马，企业的机密信息就会被不法黑客窃取。

伦科科技(广州)有限公司创始人兼CEO陈磊华在接受贝壳财经采访时表示，针对企业的钓鱼邮件一般采用伪装邮件的方式，欺骗收件人回复账号、密码等信息给指定收件人；或者引导收件人连接到特殊网页。这些网页通常伪装成和真实网站一样的，比如银行或理财网页，让注册人信以为真，输入信用卡或银行卡号、户名、密码，就会导致信息被盗。

陈磊华说，电子邮件系统本身是一个开放的系统，因此特别容易成为网络攻击的入口。“虽然微信、微博等社交工具的普及，在一定程度上取代了电子邮件的作用，但与国外的交流仍以电子邮件为主。因此，电子邮件也容易受到国际网络攻击，拥有机密数据的大公司往往容易受到攻击”。

相比国内公司，外企更容易受到邮件诈骗。美国联邦调查局近日发出警告，声称在2016年6月至2021年12月期间，商业电子邮件妥协(BEC)攻击涉及的金额高达430亿美元。根据联邦调查局的报告，该机构的互联网犯罪中心(IC3)共收到241，200起投诉。

“电子邮件是最早的网络通讯方式，设计之初没有安全方面的考虑。普通邮件基本都是明文传输，没有加密检查。简单来说，有些软件可以把外发邮件的文字剪下来，修改后再发出去。”齐志勇告诉果壳财经记者，“不过，现在大型邮件服务商都设置了很多安全机制。例如，邮件接收服务系统可以向邮件发送服务系统发送一些验证信息，以确认邮箱或邮件来源是否可信。”

对于个人可能遇到的诈骗邮件，连云港警方提示，政务服务不会邮件提醒，所有不明链接和二维码一定要谨慎处理；验证码不能随意告诉别人。同时，提醒各大企业定期检查自己的内部邮箱登录方式，更换复杂密码，开通安全认证，并提醒员工，遇到类似情况，应先与公司联系核实情况。

如何保护邮箱安全？部署高安全性邮箱系统，提高用户安全意识

5月25日，安恒信息安全专家在接受果壳财经采访时表示，电子邮箱的安全保护是多维度的。企业邮件服务器的防护主要包括服务器本身的系统安全防护、邮件服务的安全防护和邮件的安全防护。“前两种属于常规防护，第三种邮件安全防护还不普及。内容安全保护主要依靠发件人账号的审计、ueba审计、邮件内容的人工智能审计、邮件附件文件的沙盒审计、邮件中包含的超链接网站的安全审计等。，并支持管理群发邮件范围和数量的安全策略，从而有效及时地发现和拦截威胁，最大限度地限制威胁的危害性。”

齐志勇认为，对于钓鱼邮件的防护，首先企业要部署邮件安全系统或者邮件威胁识别系统。“与此事件相关的企业也是中国领先的电子邮件服务提供商，这样的系统可能也是健全的。但钓鱼邮件本身确实很难识别，难免有漏网之鱼。而且类似的成功攻击实际上经常发生，每年都有数百万的邮箱账号被盗，这是安全管理疏忽的表现。员工被钓鱼邮件欺骗，也是他们安全意识不足的反映。”

陈磊华说，被攻击的企业往往很难抵御攻击者“蓄谋已久”的APT攻击(高级可持续威胁攻击)。“如果攻击者想攻击一家公司的邮箱，可以采取‘迂回’的方式，比如先渗透其合作伙伴的邮箱，再从合作伙伴的邮箱发送合作计划等钓鱼邮件。被攻击的公司很难不被抓住。”

在他看来，目前，传统威胁如钓鱼邮件、垃圾邮件、病毒邮件等。仍然是电子邮件安全面临的主要挑战。这样的安全问题无法根除，是一场持久战。企业应采用高安全性的邮件系统和配套防御体系，提高整体信息安全水平，如定期更新密码、开通邮件异常提醒、IP限制等基本安全策略。

此外，用户的安全意识问题也不容小觑。“人往往是安全链条中最薄弱的一环，因安全意识缺失导致的钓鱼、信息泄露等事件时有发生。”陈磊华表示，个人用户需要安装杀毒软件，开启邮件附件自动扫描，避免使用弱密码并定期更换，设置邮箱账号登录保护，不要盲目打开或点击邮件中的链接和附件，警惕来自信任的朋友或同事的邮件，必要时电话确认。

裴智勇表示，为了防范此类攻击，企业不仅需要部署邮件安全系统，还要经常进行员工安全意识教育，进行各种实战攻防演练。同时，企业邮箱系统需要启动强制弱密码检测，定期更换密码，最大限度降低邮箱被黑的风险。

安恒信息安全专家表示，对于主要通过账号、密码、多因素认证等方式保护的个人邮箱。，要养成在陌生主机上不使用账号密码登录个人邮箱的习惯，更多使用扫描二维码或其他方式登录认证，一劳永逸。记得用完之后要戒掉。

记者邮箱:luoyidan@xjbnews.com

新京报壳牌财经记者罗一丹编辑许超校对刘保清