中科大3500名师生集体被骗！这是反诈教育的灾难还是进步？

来源：公众号“终结诈骗” ，原文发表于2022年9月26日。

当中科大师生和“集体被骗”结合到一起，

很难不冲上热搜。

毕竟大家都爱吃强者的瓜，特别是强者“翻车”的瓜。

01

回顾一下本次事件，中秋佳节前夕，

中科大4万多名师生收到了一封“免费领月饼”的邮件。

邮件内容如下：

先别急着说天下没有免费的午餐，

这可是顶尖大学，逢年过节给师生准备点福利真的很正常

因此，该邮件的内容并不违背常识，还很贴近中科大校园。

但是！

想领月饼可以，先认证下身份。

这操作倒也合理，肥水总不能流了外人田。

于是，许多人乖乖地点链接，填上了自己的信息。

然后，他们就“中奖”了！

时间浪费了、月饼没领到、信息还泄露了。

幸好，这场“骗局”背后的“黑手”是学校官方。

否则，根据后台记录，共有3500余人在伪造的统一身份认证界面提交了信息，这将是一起巨量精准的互联网隐私泄露案件，受骗者是来自全国各地的天才与学神。

从结果上看，中科大这次“反诈演习”大获成功。

不光在校内起到了警醒作用，还引发了全社会的讨论。

02

大学和企业的环境有诸多相似之处，

所以中科大这次借用了一个企业高发的诈骗手法，

“钓鱼邮件诈骗”。

对比下今年5月，令搜狐员工“中招”的骗局

两者具有同样清晰的思路和精巧的流程。

先向全校师生群发钓鱼邮件，

先向全体员工群发钓鱼邮件，

再以免费赠送月饼为由，诱导师生点击校外链接，

再以发放工资补贴为由，诱导员工点击附件扫码，

最后用伪造的身份认证页面“收集”个人信息：

最后用伪造的工资补助页面“收集”个人信息：

（页面供参考）

校园网账号、密码......

姓名、身份证号、银行卡号、手机号、验证码......

03

复盘结束。

你是否也在感叹这并不复杂，甚至有些过于简单......

很久之前，我也有过疑问：

拜托，这样的手法真的配得上一个面向几千几万人的大型骗局吗？

一位资深的前辈告诉我：

绝大多数骗局都特别浅显，因为原理越复杂、涉及环节越多，反而容易露出破绽。

后来，我深以为然。

刚接触“钓鱼邮件诈骗”时，我特别好奇：

骗子为何能够使用企业的域名发邮件？

骗子又如何获取员工的邮件地址？

于是我开始想象，

骗子运用着高深的黑客手段，攻破企业固若金汤的防火墙，洋洋得意。

可小公司也就罢了，搜狐这样的大型科技公司哪能轻易“沦陷”。

真有这本事，还当啥小小的骗子，社会不得抢着“招安”。

既然复杂的方式行不通，那简单的方法是什么呢？

前辈和我说，“内鬼”。

是攻克一个公司的防火墙容易？

还是”攻克“公司里的一个员工容易？

当然，未必是内部员工主观上和外人勾结。

最大的可能是员工，尤其是邮箱管理员或财务人员，

他不小心中了木马或点到钓鱼链接，

导致自身账户泄露，让骗子成功潜入公司内部，进而盗发邮件。

换言之，这是一次“连环钓鱼事件”。

一个人的失误，可能要让几千几万人为之买单。

从搜狐的公告来看，本次事件亦是如此。

如此一来，企业的服务器安全等级再高，可能也没用。

因为骗局成功的突破口不在于技术，在于人。

只要有一人大意，骗子就可以像病毒一样，

令他的同事、亲人、朋友......全都就此遭殃。

04

回到中科大的“钓鱼演习”上来，

校方后来说了，他们特地留下了多个明显的“漏洞”：

仿冒的发件人地址、不存在的科大部门、非科大域名的登录页面、错误的联系电话。

可谓破绽百出，但还是有近10%的人被骗。

这足以说明，轻信，是人类的天性，

而“怀疑”的能力，是需要后天培养的。

这也是社会需要多进行类似钓鱼测试的原因。

不仅可以通过邮件，还可以使用短信、电话......

据我所知，经常发钓鱼邮件的公司，

虽然最初的结果往往不尽人意，

但员工慢慢就会有意识地防范识别邮件，

再也不会冒然点击链接或者下载附件。

这就是安全防范意识得到提升的表现了。

地震、火灾等等大众所熟知的事故，

都要进行反复演练，而非照本宣科，

要想成功终结诈骗，同样需要如此。