5月25日、捜狐の全従業員が賃金補助詐欺に遭ったという話題がソーシャルプラットフォームに殺到した。
捜狐の張朝陽CEOと捜狐グループは、従業員がメールを使用している間に意外な釣りによってパスワードが流出し、財務省になりすましてメールを盗み出されたと相次いで答えた。24人の従業員が4万元以上だまし取られた。
従業員が詐欺された後の損失は、会社が負担する必要がありますか?あなたの捜狐メールは影響を受けますか?
24人の従業員が4万元以上の詐欺を受けた
メディアによると、捜狐の全従業員は5月18日朝、「捜狐財務部」から「5月従業員給与補助通知」というメールを受け取り、多くの従業員が添付ファイルの要求に従ってコードをスキャンし、銀行口座番号などの情報を記入した。しかし、いわゆる補助を待っていないだけでなく、給与カード内の残高も奪われています。
暴露されたチャットの記録によると、その後、捜狐はすぐに関連メールを削除し、関連部門が詐欺に遭った従業員の情報をまとめて交番に通報した。
これに対して、あるネットユーザーは「捜狐の人は国家反詐欺アプリをダウンロードしていないと思います」「従業員は5万人を使って会社に熱検索を買って、会社の血が一波を稼いだ」などと冗談を言った。…
5月25日昼、張朝陽は微博を発表し、「みんなが思っているほど深刻ではない」と明らかにした。
同日午後、捜狐は声明を発表し、「調査の結果、ある従業員がメールを使用していたところ、意外なフィッシングによってパスワードが流出し、財務省になりすましてメールを盗み出されたことが明らかになった。事件後、会社のITとセキュリティ部門は初めて緊急処理を行った。公安機関に通報した。統計によると、24人の従業員が4万元以上だまし取られた。警察の捜査進展と処理結菓を待っている」と明らかにした。
これに対して、 Qi An Xin Technology Group Inc(688561) 業界安全研究センターの鞖智勇主任は北京商報記者に、「これは非常に典型的なOAフィッシング攻撃とネット詐欺攻撃を組み合わせた連続サイバー攻撃事件である可能性が高い」と話した。
捜狐メールサービス には触れません
「OAフィッシングとは、攻撃者がシステム管理者や運維者になりすまし、従業員にフィッシングメールを送信し、従業員をフィッシングのフィッシングサイトに自分のアカウントとパスワードを入力させることです。攻撃者は従業員のアカウントとパスワードを盗むと、従業員としてメールボックスにログインし、さらに多くの他の従業員に詐欺メールを送信します」ペ・ジヨンは言った。
「後続の被害者にとって、メールは内部メールボックスから来ているため、信頼性が大幅に向上し、最終的にだまされるのは避けられないことが多い。もちろん、メールボックスのアカウントを盗む方法は1つだけでなく、他にもたくさんの方法がある。実際の状況は関係部門が調査するのを待たなければならない」とペ・ジヨン氏はさらに説明した。
今回のサイバー攻撃事件の詳細を明らかにしたほか、張朝陽氏と捜狐氏は声明で、「今回の事件は捜狐社がユーザーに提供するメールサービスには関係ない」と強調した。張朝陽はまた、捜狐が公共サービスに対する個人メールボックスの接尾辞形式を特別に公開した:@sohu.com..捜狐は中国の四大ポータルサイトの一つで、捜狐メールボックスは無料メールボックス、VIPメールボックス、企業メールボックスに分けられている。しかし、捜狐関係者は現在の捜狐メールボックスの具体的なユーザー規模を明らかにしていない。
捜狐は「釣り」された従業員に賠償する必要がありますか?
注目すべきは、従業員が詐欺に遭った後の損失を、会社が負担する必要があるかどうかです。弁護士はこれに対して意見が違う。
澎湃たるニュースによると、上海申倫弁護士事務所の夏海龍弁護士は、会社が十分なネットワークセキュリティ保護措置を取っているかどうかにかかわらず、システムが侵入された結菓に主な責任を負わなければならず、従業員に明らかな過失がない場合、まず従業員にだまされた損失を賠償しなければならないと考えている。
上海市匯業弁護士事務所の王一川氏によると、このようなフィッシングメールを完全にブロックするのは難しいという。法律上の過ちがなければ、会社は法的責任を負う必要はないという。しかし、会社はできるだけ企業のメールボックスを購入し、常に会社のメールをチェックしておくことをお勧めします。最初の時間に詐欺の疑いのあるメールを発見し、従業員に遅延を避けるように注意します。また、会社は電気通信ネットワーク詐欺防止教育訓練を展開し、従業員の法律意識と自己保護意識を高めることもできます。
捜狐会社が最近発表した2022年第1四半期の財報によると、捜狐の第1四半期の総収入は1億9300万ドルで、純利益は900万ドルだった。前年同期比の純収入は2億2200万ドル、純利益は3700万ドルだった。
張朝陽氏は、「2022年第1四半期、COVID-19肺炎の負の影響とマクロ経済環境の挑戦を受けても、私たちは製品の最適化と運営効率の向上に専念し続けている。オンラインゲーム事業の優れた表現のおかげで、グループ利益はこれまでの指導的な予想を超え、利益を得た」と述べた。
フィッシングメールは認識しにくい
Coremail論客と Qi An Xin Technology Group Inc(688561) 業界安全研究センターの評価によると、2020年、全国の企業レベルのユーザーは1日平均約1億3000万通の有毒メールが送受信された。凱捷研究院からのデータによると、2021年の世界のメール脅威総数は2020年より4.4%増加した。
今回の捜狐内ネットが攻撃された事件に対して、ペ・ジヨンは直言した。「企業はメールセキュリティシステムやメール脅威識別システムを配備すべきです。今回の事件に関連する企業は、自身も中国をリードするメールサービス業者であり、このようなシステムも健全かもしれません。しかし、フィッシングメール自体は確かに識別しにくく、同様の成功攻撃事件は実際によく発生しています。毎年盗まれる様々なメールアカウントは数百万人で、従業員がフィッシングメールにだまされるのも、自分の安全意識が足りない体です。現。」
そのためには、彼の提案:「企業はメールセキュリティシステムを配置するだけでなく、従業員の安全意識教育を常に行い、各種の実戦攻防演習を行う必要がある。同時に、企業のメールボックスシステムは強製弱パスワード検出をオンにし、強製的に定期的にパスワードを変更し、メールボックスの盗難リスクを最大限に軽減する必要がある。条件のある企業は、アカウントセキュリティ管理システムと身分セキュリティシステムを配置することもでき、これにより行動異常のアカウントをタイムリーに発見することができる。異常アカウントの活動をタイムリーに阻止し、セキュリティリスクをタイムリーに阻止します。」
個人メールボックスのセキュリティ保護の麺では、 Dbappsecurity Co.Ltd(688023) の関連専門家は、普段は主にアカウントパスワード、多因子認証などの方法で保護し、見知らぬホストでアカウントパスワードを使用して個人メールボックスにログインしないようにし、QRコードまたは他の1回1密をスキャンする方法で認証にログインし、使用後に終了することを覚えておくことを提案しています。
