|
|
|
|
|
|
来源:郭传亮 发布日期:2022.07.06 点击量:
事件回顾
近日,一则关于“某互联网公司全体员工遭遇工资补助诈骗”的消息引发网络热议。
消息称,某互联网公司全体员工收到一封《5月份员工工资补助通知》的邮件,署名“财务部”。大量员工按照附件要求扫码、填写了银行账号等信息后,发现遭遇了诈骗,工资卡内的余额被划走。
随后,该公司CEO对外回应了此事,CEO表示,事情不像大家想象的那么严重,公司一个员工的内部邮箱密码被盗,盗贼冒充财务部发信给员工。技术部门发现后紧急处理,共有24名员工被骗,资金损失总额少于5万元。
事件分析
这是典型的电信诈骗中的邮箱诈骗。不法分子伪装成公司内部人员,群发邮件,在邮件中植入套取个人信息的链接,一旦有人信以为真,银行卡上的余额就会被套走。
事件原因
一、作为老牌提供邮箱服务的大厂,对于外部非法邮件入侵,必然有相应的安全防护措施,但是不法分子通过盗取员工邮箱,起到了跳板的目的,绕过了内部的安全防线。所构建的安全堡垒也就无法起到作用,邮件得以顺利群发送至员工。
二、该公司员工收到邮件后,由于种种原因,部分员工最终放下了戒备,填写了个人信息,导致被骗。主要原因包括:1、邮件使用了公司后缀;2、平时报销时也常会要求填写银行卡和个人信息;3、工资补贴具有一定的诱人且合理性。
事件后果
此事虽然涉及被诈骗金额总数较少,但由于本身是知名企业,再加上事件本身具有一些“看点”,如互联网公司被互联网诈骗、做邮箱服务的被邮箱诈骗等。所以,此事一经发出,便引起了广大网友的讨论。很多网友把该公司当成了调侃的对象,该公司原本不高的信誉值在网民心中再次下降。
除了舆论影响外,该公司作为网络运营者,理应承担网络安全管理职责,那么该公司是否按要求开展了安全评估、内部管理制度是否完善,是否存在着技术漏洞。
建议措施
1、员工收到企业邮件时,应首先要看清楚收到的邮件的信息。邮件域名应该是这个企业的名称,要检查发件人的地址是不是真实,打开的网页网址是不是正规。
2、员工企业邮箱账户应设置安全的口令,包括长度和复杂度。同时企业可对邮箱采取除口令外的其它认证方式,如电子证书等。
3、员工应采取措施,保护账户安全。包括保证密码安全、大额转账应设置短信等其它验证方式,同时针对目前普遍的互联网交易,应避免扫来源不明的码。
4、企业应尽量避免重复收集个人信息的行为,如常用的银行卡号、住址等,如未进行变更,应不要求重复提供。
5、企业应加强信息安全意识培训,开展邮件诈骗等内部演练, 使内部员工具备一定的反诈意识和能力。
6、企业应加强内部的安全管理,采用漏洞扫描、技术手段发现企业信息系统的漏洞,建立健全安全机制,保证企业安全风险能够及时得到处理。
最后
虽然近年来电信诈骗手段层出不穷,但始终都是以骗取他人的信任为基础,同时以好奇事件、天上的大馅饼等方式,吸引你的注意。从这点说,诈骗是从来没变的。
小编无意中发现了新华社在2021年11月发布的漫画。
内容为:收到公司“人事部门”或“财务部门”邮箱发送的“补贴领取”通知时,你是不是会不假思索点击邮件中的链接去申领?反诈民警提示,即使是公司相关部门邮箱发送的通知邮件,也可能是不法分子给你下的“套”,一定不要轻易填写银行卡号、身份证号和短信验证码等敏感信息。
相关新闻:
