中科大給師生們發(fā)了一封釣魚郵件，結(jié)果3000多人上當(dāng)了。

風(fēng)畫詩隱 2022-09-10 發(fā)布于湖南

展開全文

昨天世超看到一個新聞，可樂了好一會。

中科大為了提升大家的網(wǎng)絡(luò)安全意識，給 4 萬名師生發(fā)了一封 “ 釣魚郵件 ”。

內(nèi)容就是學(xué)校定制的月餅禮盒供不應(yīng)求，郵箱管理中心部門特地采購了一批，以抽獎的形式回饋給大家。

當(dāng)然，這種好事外人肯定享受不到，為了證明你是自己人，要填入身份信息。

要知道中科大每年中秋都會搞點(diǎn)特色月餅。

比如 2020 年就把月餅的外包裝做成了《天體物理概論》等教科書的樣子，在網(wǎng)上小火了一把。

你想想，這種月餅屆的小網(wǎng)紅，想買買不到，現(xiàn)在有機(jī)會抽獎獲得，換我我也想試哇。

最后，4 萬封釣魚郵件，有 3500 名師生成功上當(dāng)，填寫了個人信息。

提交后他們才發(fā)現(xiàn)自己真中獎了——原地上了一堂的課。

這堂課詳細(xì)教了大家如何辨別釣魚郵件。

像是中科大郵件地址是 ustc.edu.cn ，不是釣魚郵件里的 vstc.edu.cn 。身份登錄頁面的域名，也不是中科大的。

最騷的是中科大壓根沒有 “ 郵件管理中心部門 ” 。

如果仔細(xì)核對電話，還會發(fā)現(xiàn)，真的中科大電話都是 6360 開頭的，而釣魚郵件上是 “ 36309527 ”。

尾號 9527 是不是在玩周星馳的梗 ▼

課上完了還不夠，這幾千名中獎的人還收獲了一份網(wǎng)絡(luò)安全宣傳手冊。

當(dāng)然，你要自己去線下領(lǐng)。。

別的先不說，世超倒挺想看到 3000 多人去領(lǐng)手冊時面面相覷的樣子。

好巧，你也被釣了。

其實(shí)像中科大這樣的釣魚演習(xí)，新浪科技也整過。

今年 7 月份，新浪員工收到一封 “ 員工關(guān)愛平臺 ” 發(fā)送的郵件，讓他們盡快填寫信息申請高溫補(bǔ)貼。

結(jié)果很明顯了，申請到的 “ 高溫補(bǔ)貼 ” 成了一堂安全培訓(xùn)課。

看到這可能有人會說，懂了，以后有福利的鏈接不點(diǎn)就不會騙。

年輕人，釣魚套路可是千千萬呢。除了福利釣魚，還有焦慮釣魚。

去年，不少清華大學(xué)師生收到了一封郵件，提醒自己賬號存在境外地區(qū)多次異常登錄，可能已經(jīng)泄露重要信息，讓他們按照指示修改賬號密碼。

如果換做你，明明什么事也沒干，突然遇到賬號異常登錄也會慌吧。

病急亂投醫(yī)嘛，人一著急就會忽略驗證郵件真實(shí)性，只想趕忙改掉密碼，及時止損。

結(jié)果不少人點(diǎn)擊鏈接進(jìn)入了 “ 清華大學(xué)電子身份系統(tǒng) ”，按要求填寫學(xué)號、密碼等信息。

提交完后他們就看到了《 2021 年釣魚郵件演練之開 “ 獎 ” 說明 》

同樣的，學(xué)校最后也教育了大家如何辨別釣魚郵件，諸如清華大學(xué)郵件域名是 @tsinghua.cn，而不是這里的 @tsnighua.cn

看，釣魚郵件想騙你的套路有很多。

可能有人會問，這些釣魚的人騙我一個賬號能干啥呢。

這么說吧，他們目標(biāo)可能是你身上的錢，也可能是整個公司的數(shù)據(jù)。

你以為黑客盜竊數(shù)據(jù)，都像電影里的那樣，靠吊炸天的技術(shù)對著鍵盤一頓敲就完事了？

在現(xiàn)實(shí)中，他們往往都要借助于社會工程學(xué)。

Check Point 曾調(diào)查了美國、加拿大、英國、德國、澳大利亞、新西蘭 850 個 IT 和安全行業(yè)的人員，其中 48% 都遭遇過社會工程學(xué)。

如果你第一次聽說這個詞，那你可以把黑客理解為演員。

社會工程學(xué)就是黑客們?yōu)榱诉_(dá)到目的，會偽造身份、操控心理、狂飆演技從內(nèi)部員工那騙取敏感信息。

這當(dāng)中最常見的手段，就是釣魚郵件。

不管你服務(wù)器保護(hù)等級再高，數(shù)據(jù)再保密，我只要騙到內(nèi)部人員的賬號，就離獲得敏感信息不遠(yuǎn)了。

這，不比自己對抗整個公司的防火墻來得更快，機(jī)會更大？

上世紀(jì) 80 年代有個經(jīng)典案例，一個小伙子成功找到了 DEC 公司開發(fā)系統(tǒng)工具的編號，但是沒有賬號密碼，編號無法發(fā)揮作用。

不過他并沒有硬著頭破解，而是聯(lián)系了 DEC 的系統(tǒng)經(jīng)理，假裝自己是另外一個開發(fā)人員，無法登錄系統(tǒng)。

結(jié)果對面就上當(dāng)了，給他一個系統(tǒng)的高級訪問權(quán)限。之后，他入侵了 DEC 計算機(jī)網(wǎng)絡(luò)，竊取了該公司的專利軟件。

這個小伙子就是后來 “ 最著名的黑客 ” 凱文 · 米特尼克。

在電腦安全性不高的 80 年代，黑客就在用社會工程學(xué)。如今 40 年過去了，黑客依然愛用。

兩年前世超和差評君參加了一個網(wǎng)絡(luò)攻防大賽。有防守隊，有黑客隊，我和差評君屬于 NPC。

你們猜黑客那一隊開攻后第一件事是干啥。

他們加上了我的好友，說給你分享一個很好用的殺毒腳本。

我就點(diǎn)開了一個看似無害的軟件。。。

結(jié)果屏幕閃過了 CMD 窗口，就沒了。

此時一個文件被執(zhí)行完畢，我們的電腦已經(jīng)被入侵了，整個過程只有 2- 3 秒鐘。

emm ，盡管看起來不那么高大上，但不得不說社會工程學(xué)就是黑客最直接也最有效的攻擊手段。

看到這里，你應(yīng)該會覺得新浪、中科大搞這種釣魚演習(xí)還是有必要的。

讓大家見識下黑客們最常用的手段，提升一下網(wǎng)絡(luò)安全防護(hù)意識。

而且這演習(xí)還有個好處。

平時讓大家學(xué)反釣魚反詐騙時，總有人說 “ 騙子不會來找我 ”“ 我不會被騙的 ” ，但不少都被打臉了。

通過這種演習(xí)，給他們來一個當(dāng)頭棒喝，在上當(dāng)?shù)臅r候教育他們，效果可比紙上談兵要好上一百倍吧。

撰文：刺猬 編輯：面線

圖片、資料來源：

本站是提供個人知識管理的網(wǎng)絡(luò)存儲空間，所有內(nèi)容均由用戶發(fā)布，不代表本站觀點(diǎn)。請注意甄別內(nèi)容中的聯(lián)系方式、誘導(dǎo)購買等信息，謹(jǐn)防詐騙。如發(fā)現(xiàn)有害或侵權(quán)內(nèi)容，請點(diǎn)擊一鍵舉報。

轉(zhuǎn)藏 分享

QQ空間 QQ好友新浪微博微信

獻(xiàn)花（0） +1

來自：風(fēng)畫詩隱 > 《差評》

舉報/認(rèn)領(lǐng)