中科大3500名师生集体被骗!这是反诈教育的灾难还是进步?

来源:公众号“终结诈骗” ,原文发表于2022年9月26日。

当中科大师生和“集体被骗”结合到一起,

很难不冲上热搜。

毕竟大家都爱吃强者的瓜,特别是强者“翻车”的瓜。

500

01

回顾一下本次事件,中秋佳节前夕,

中科大4万多名师生收到了一封“免费领月饼”的邮件

邮件内容如下:

500

先别急着说天下没有免费的午餐,

这可是顶尖大学,逢年过节给师生准备点福利真的很正常

因此,该邮件的内容并不违背常识,还很贴近中科大校园。

但是!

想领月饼可以,先认证下身份

500

500

这操作倒也合理,肥水总不能流了外人田。

于是,许多人乖乖地点链接,填上了自己的信息。

然后,他们就“中奖”了!

500

时间浪费了、月饼没领到、信息还泄露了。

幸好,这场“骗局”背后的“黑手”是学校官方。

否则,根据后台记录,共有3500余人在伪造的统一身份认证界面提交了信息,这将是一起巨量精准的互联网隐私泄露案件,受骗者是来自全国各地的天才与学神

500

从结果上看,中科大这次“反诈演习”大获成功。

不光在校内起到了警醒作用,还引发了全社会的讨论。

02

大学和企业的环境有诸多相似之处,

所以中科大这次借用了一个企业高发的诈骗手法,

“钓鱼邮件诈骗”

对比下今年5月,令搜狐员工“中招”的骗局

500

两者具有同样清晰的思路和精巧的流程。

先向全校师生群发钓鱼邮件,

先向全体员工群发钓鱼邮件,

再以免费赠送月饼为由,诱导师生点击校外链接

再以发放工资补贴为由,诱导员工点击附件扫码

500

最后用伪造的身份认证页面“收集”个人信息

最后用伪造的工资补助页面“收集”个人信息

500

(页面供参考)

校园网账号、密码......

姓名、身份证号、银行卡号、手机号、验证码......

03

复盘结束。

你是否也在感叹这并不复杂,甚至有些过于简单......

很久之前,我也有过疑问:

拜托,这样的手法真的配得上一个面向几千几万人的大型骗局吗?

500

一位资深的前辈告诉我:

绝大多数骗局都特别浅显,因为原理越复杂、涉及环节越多,反而容易露出破绽。

后来,我深以为然。

刚接触“钓鱼邮件诈骗”时,我特别好奇:

骗子为何能够使用企业的域名发邮件?

骗子又如何获取员工的邮件地址?

于是我开始想象,

骗子运用着高深的黑客手段,攻破企业固若金汤的防火墙,洋洋得意。

500

可小公司也就罢了,搜狐这样的大型科技公司哪能轻易“沦陷”。

真有这本事,还当啥小小的骗子,社会不得抢着“招安”。

既然复杂的方式行不通,那简单的方法是什么呢?

前辈和我说,“内鬼”

500

是攻克一个公司的防火墙容易?

还是”攻克“公司里的一个员工容易?

当然,未必是内部员工主观上和外人勾结。

最大的可能是员工,尤其是邮箱管理员或财务人员

他不小心中了木马或点到钓鱼链接,

导致自身账户泄露,让骗子成功潜入公司内部,进而盗发邮件。

换言之,这是一次“连环钓鱼事件”。

一个人的失误,可能要让几千几万人为之买单。

从搜狐的公告来看,本次事件亦是如此。

500

如此一来,企业的服务器安全等级再高,可能也没用。

因为骗局成功的突破口不在于技术,在于人。

只要有一人大意,骗子就可以像病毒一样

令他的同事、亲人、朋友......全都就此遭殃。

500

04

回到中科大的“钓鱼演习”上来,

校方后来说了,他们特地留下了多个明显的“漏洞”

仿冒的发件人地址、不存在的科大部门、非科大域名的登录页面、错误的联系电话。

500

可谓破绽百出,但还是有近10%的人被骗。

这足以说明,轻信,是人类的天性

而“怀疑”的能力,是需要后天培养的。

500

这也是社会需要多进行类似钓鱼测试的原因。

不仅可以通过邮件,还可以使用短信、电话......

据我所知,经常发钓鱼邮件的公司,

虽然最初的结果往往不尽人意,

但员工慢慢就会有意识地防范识别邮件,

再也不会冒然点击链接或者下载附件。

这就是安全防范意识得到提升的表现了。

地震、火灾等等大众所熟知的事故,

都要进行反复演练,而非照本宣科,

要想成功终结诈骗,同样需要如此。

站务

最近更新的专栏

全部专栏