最近，一个让人大跌眼镜的话题冲上了社交平台热搜——#搜狐员工遭遇工资补助诈骗#

事件起因是搜狐员工收到一封来自“搜狐财务部”名为《5月份员工工资补助通知》的邮件，部分员工按照附件要求扫码，并填写了银行账号等信息。

但悲催的是，他们不但没有收到所谓的补助，反而工资卡内的余额被转走了。

随后搜狐方面回应，“经调查，实为某员工使用邮件时被意外钓鱼导致密码泄露，进而被冒充财务部盗发邮件。共有24名员工被骗取4万余元”，并强调“这次事件不涉及搜狐公司对用户提供的邮件服务”。

打工人已经很难了，还要遭遇这种过山车般的大起大落，欢喜过后又一场空，谁看了不对钓鱼诈骗咬牙切齿又心有余悸呢。

其实，围绕电子邮箱进行的诈骗行为并不少见，主要包括冒充上下游客户、领导同事的钓鱼攻击，包含木马、目的为窃取公司机密的病毒邮件等。

诈骗方式除了工资补助及加薪诈骗外，还有诸如银行有一个需要确认的信息、某商家发放了优惠券、疫情行程轨迹填报等，通过文档或链接形式提供引导，只要你打开看，就会有恶意程序或代码利用漏洞入驻，然后对你发起进一步网络攻击。

或是欺骗收件人将账号、口令等信息回复给指定的接收者，或引导收件人连接到特制的网页，这些网页通常会伪装成和真实网站一样，如银行或理财的网页，令登录者信以为真，输入信用卡或银行卡号码、账户名称及密码等而被盗取。

由于邮件是一个攻击成本低但防护有难度的互联网服务，故而邮件攻击成了针对企业最简单有效、也最具迷惑性的攻击方法。据凯捷研究院数据，2021年全球邮件威胁总数量相对2020年同比上升4.4%，相对2019年同比上升56.3%。

由此可以看到，目前传统的钓鱼邮件、垃圾邮件、病毒邮件等威胁依然是邮件安全面临的主要挑战，此类安全问题很难根除，是一场持久战。

面对邮件钓鱼诈骗，我们能做什么呢？

#对个人来说

01 不要轻易点击和打开来历不明邮件中的链接和附件，并检查发件人的地址是否真实，打开的网页网址否正规。

02 对二维码谨慎操作，短信验证码更不能随意告知他人。

03 及时升级系统，安装杀毒软件并更新病毒库，保证杀毒软件程序随时启动。

04 除非文档来自可信来源，否则请关闭 Office 宏。

05 及时更新操作系统补丁，避免漏洞被攻击者利用。

#对企业来说

01 定期审核系统平台的安全策略、定期评估网络风险，完善公司的信息安全技术规范、标准和管理制度。

02 关注最新的网络安全漏洞、病毒公告、攻击方式并及时采取防范措施。

03 企业邮箱系统需要开启强制弱口令检测，强制定期改密码，以最大限度地减轻邮箱盗号风险。

04 重要文件分享可以使用外链代替邮件发送。比如，燕麦云的外链功能支持安全设置，包括外链访问权限、访问密码以及外链有效期限，可以在后台集中管控分享外链。

05 进行员工安全意识教育，尽到必要的网络安全管理职责。