|
当中科大师生和“集体被骗”结合到一起,
很难不冲上热搜。
毕竟大家都爱吃强者的瓜,特别是强者“翻车”的瓜。 回顾一下本次事件,中秋佳节前夕,
中科大4万多名师生收到了一封“免费领月饼”的邮件。
先别急着说天下没有免费的午餐,
这可是顶尖大学,逢年过节给师生准备点福利真的很正常
因此,该邮件的内容并不违背常识,还很贴近中科大校园。
但是!
想领月饼可以,先认证下身份。
这操作倒也合理,肥水总不能流了外人田。
于是,许多人乖乖地点链接,填上了自己的信息。
然后,他们就“中奖”了!
时间浪费了、月饼没领到、信息还泄露了。
幸好,这场“骗局”背后的“黑手”是学校官方。
否则,根据后台记录,共有3500余人在伪造的统一身份认证界面提交了信息,这将是一起巨量确定的的互联网隐私泄露案件,受骗者是来自全国各地的天才与学神。
从结果上看,中科大这次“反诈演习”大获成功。
不光在校内起到了警醒作用,还引发了全社会的讨论。
大学和企业的环境有诸多相似之处,
所以中科大这次借用了一个企业高发的诈骗手法,
“钓鱼邮件诈骗”。
最后用伪造的身份认证页面“收集”个人信息: 最后用伪造的工资补助页面“收集”个人信息:
校园网账号、密码...... 姓名、身份证号、嘤航卡号、手机号、验证码......
复盘结束。
你是否也在感叹这并不复杂,甚至有些过于简单......
很久之前,我也有过疑问: 拜托,这样的手法真的配得上一个面向几千几万人的大型骗局吗?
一位资深的前辈告诉我: 绝大多数骗局都特别浅显,因为原理越复杂、涉及环节越多,反而容易露出破绽。
后来,我深以为然。
刚接触“钓鱼邮件诈骗”时,我特别好奇:
骗子为何能够使用企业的域名发邮件? 骗子又如何获取员工的邮件地址?
于是我开始想象,
骗子运用着高深的黑客手段,攻破企业固若金汤的防火墙,洋洋得意。
可小公司也就罢了,搜狐这样的大型科技公司哪能轻易“沦陷”。
真有这本事,还当啥小小的骗子,社会不得抢着“招安”。
既然复杂的方式行不通,那简单的方法是什么呢?
是攻克一个公司的防火墙容易? 还是”攻克“公司里的一个员工容易?
当然,未必是内部员工主观上和外人勾结。
最大的可能是员工,尤其是邮箱管理员或财务人员,
他不小心中了木马或点到钓鱼链接,
导致自身账户泄露,让骗子成功潜入公司内部,进而盗发邮件。
换言之,这是一次“连环钓鱼事件”。
一个人的失误,可能要让几千几万人为之买单。
从搜狐的公告来看,本次事件亦是如此。
如此一来,企业的服务器安全等级再高,可能也没用。
因为骗局成功的突破口不在于技术,在于人。
只要有一人大意,骗子就可以像病毒一样,
令他的同事、亲人、朋友......全都就此遭殃。
回到中科大的“钓鱼演习”上来,
校方后来说了,他们特地留下了多个明显的“漏洞”:
仿冒的发件人地址、不存在的科大部门、
非科大域名的登录页面、错误的联系电话。
可谓破绽百出,但还是有近10%的人被骗。
这足以说明,轻信,是人类的天性,
而“怀疑”的能力,是需要后天培养的。 这也是社会需要多进行类似钓鱼测试的原因。 不仅可以通过邮件,还可以使用短信、电话......
据我所知,经常发钓鱼邮件的公司,虽然最初的结果往往不尽人意,但员工慢慢就会有意识地防范识别邮件,再也不会冒然点击链接或者下载附件。
这就是安全防范意识得到提升的表现了。
地震、火灾等等大众所熟知的事故, 都要进行反复演练,而非照本宣科, 要想成功终结诈骗,同样需要如此。
| 
添加框架
添加模块
100%框架
1:1
1:2
2:1
1:3
3:1
1:1:1
tab框架
/1 
