Redian新闻
>
中科大给师生们发了一封钓鱼邮件 ,结果3000多人上当了。

中科大给师生们发了一封钓鱼邮件 ,结果3000多人上当了。

科技


昨天世超看到一个新闻,可乐了好一会。

中科大为了提升大家的网络安全意识,给 4 万名师生发了一封 “ 钓鱼邮件 ”。

内容就是学校定制的月饼礼盒供不应求,邮箱管理中心部门特地采购了一批,以抽奖的形式回馈给大家。

当然,这种好事外人肯定享受不到,为了证明你是自己人,要填入身份信息。

要知道中科大每年中秋都会搞点特色月饼。

比如 2020 年就把月饼的外包装做成了《 天体物理概论 》等教科书的样子,在网上小火了一把。

你想想,这种月饼届的小网红,想买买不到,现在有机会抽奖获得,换我我也想试哇。

最后,4 万封钓鱼邮件,有 3500 名师生成功上当,填写了个人信息。

 提交后他们才发现自己真中奖了——原地上了一堂的课。

这堂课详细教了大家如何辨别钓鱼邮件。

像是中科大邮件地址是 ustc.edu.cn ,不是钓鱼邮件里的 vstc.edu.cn 。身份登录页面的域名,也不是中科大的。

最骚的是中科大压根没有 “ 邮件管理中心部门 ” 。

如果仔细核对电话,还会发现,真的中科大电话都是 6360 开头的,而钓鱼邮件上是 “ 36309527 ”。

尾号 9527 是不是在玩周星驰的梗  

课上完了还不够,这几千名中奖的人还收获了一份网络安全宣传手册。

当然,你要自己去线下领。。

别的先不说,世超倒挺想看到 3000 多人去领手册时面面相觑的样子。

好巧,你也被钓了。

 其实像中科大这样的钓鱼演习,新浪科技也整过。

今年 7 月份,新浪员工收到一封 “ 员工关爱平台 ” 发送的邮件,让他们尽快填写信息申请高温补贴。

结果很明显了,申请到的 “ 高温补贴 ” 成了一堂安全培训课。

看到这可能有人会说,懂了,以后有福利的链接不点就不会骗。

年轻人,钓鱼套路可是千千万呢。除了福利钓鱼,还有焦虑钓鱼。

去年,不少清华大学师生收到了一封邮件,提醒自己账号存在境外地区多次异常登录,可能已经泄露重要信息,让他们按照指示修改账号密码。

如果换做你,明明什么事也没干,突然遇到账号异常登录也会慌吧。

病急乱投医嘛,人一着急就会忽略验证邮件真实性,只想赶忙改掉密码,及时止损。

结果不少人点击链接进入了 “ 清华大学电子身份系统 ”,按要求填写学号、密码等信息。

提交完后他们就看到了《 2021 年钓鱼邮件演练之开 “ 奖 ” 说明 》

同样的,学校最后也教育了大家如何辨别钓鱼邮件,诸如清华大学邮件域名是 @tsinghua.cn,而不是这里的 @tsnighua.cn 

看,钓鱼邮件想骗你的套路有很多。

可能有人会问,这些钓鱼的人骗我一个账号能干啥呢。

这么说吧,他们目标可能是你身上的钱,也可能是整个公司的数据。

你以为黑客盗窃数据,都像电影里的那样,靠吊炸天的技术对着键盘一顿敲就完事了?

 在现实中,他们往往都要借助于社会工程学。

Check Point 曾调查了美国、加拿大、英国、德国、澳大利亚、新西兰 850 个 IT 和安全行业的人员,其中 48% 都遭遇过社会工程学。

如果你第一次听说这个词,那你可以把黑客理解为演员。

社会工程学就是黑客们为了达到目的,会伪造身份、操控心理、狂飙演技从内部员工那骗取敏感信息。

这当中最常见的手段,就是钓鱼邮件。

不管你服务器保护等级再高,数据再保密,我只要骗到内部人员的账号,就离获得敏感信息不远了。

这,不比自己对抗整个公司的防火墙来得更快,机会更大?

上世纪 80 年代有个经典案例,一个小伙子成功找到了 DEC 公司开发系统工具的编号,但是没有账号密码,编号无法发挥作用。

不过他并没有硬着头破解,而是联系了 DEC 的系统经理,假装自己是另外一个开发人员,无法登录系统。

结果对面就上当了,给他一个系统的高级访问权限。之后,他入侵了 DEC 计算机网络,窃取了该公司的专利软件。

这个小伙子就是后来 “ 最著名的黑客 ” 凯文 · 米特尼克。

在电脑安全性不高的 80 年代,黑客就在用社会工程学。如今 40 年过去了,黑客依然爱用。

两年前世超和差评君参加了一个网络攻防大赛。有防守队,有黑客队,我和差评君属于 NPC。

你们猜黑客那一队开攻后第一件事是干啥。

他们加上了我的好友,说给你分享一个很好用的杀毒脚本。

我就点开了一个看似无害的软件。。。

结果屏幕闪过了 CMD 窗口,就没了。

此时一个文件被执行完毕,我们的电脑已经被入侵了,整个过程只有 2- 3 秒钟。

emm ,尽管看起来不那么高大上,但不得不说社会工程学就是黑客最直接也最有效的攻击手段。

看到这里,你应该会觉得新浪、中科大搞这种钓鱼演习还是有必要的。

让大家见识下黑客们最常用的手段,提升一下网络安全防护意识。

而且这演习还有个好处。

平时让大家学反钓鱼反诈骗时,总有人说 “ 骗子不会来找我 ”“ 我不会被骗的 ” ,但不少都被打脸了。

通过这种演习,给他们来一个当头棒喝,在上当的时候教育他们,效果可比纸上谈兵要好上一百倍吧。

撰文:刺猬   编辑:面线

图片、资料来源:
知乎:中科大发 4 万封「 免费送月饼 」钓鱼邮件,校方回应系「 反诈演练 」,如何评价校方行为?如何防范电信诈骗?
为了让大家识别钓鱼邮件,清华大学也是拼了
一个黑客的基本素养:社会工程学
著名的社会工程攻击:12 个狡猾的骗局


微信扫码关注该文公众号作者

戳这里提交新闻线索和高质量文章给我们。
相关阅读
只因一封邮件!澳洲老人遭受数万澳元损失!澳洲骗子越发猖獗!银行专家这样说…一群中科大校友做VC国家反诈中心提示:中国留学生上当了!这是骗子的新招!我们发了10万块钱稿费22/23冬季学期第五波|U15联盟成员大学的录取一封接一封!八月罗德岛每周末出海钓鱼!超值7小时日落钓鱼行程上线!俄罗斯或许还是上当了谁敢想!中科院美女博士亲自教我做12大细胞实验,我刚刚成功发了SCI……女子在朋友圈发了两行字,结果摊上事了!墨尔本女子冒充移民律师,谎称可帮申请签证,多人上当被骗$8万!然而讽刺的是...如果你收到这样一封邮件,你会点那个“校内抽奖链接”吗? | 科技袁人《天才基本法》揭秘Python真实用法,留学生直呼“上当了”避雷!洛杉矶知名某仓售卖大量“假货”月饼!$60/盒!大批华人上当!夏日的雪崖,它的美丽艰险如此呈现。。。边干边学,自建工具房杂物棚 - 1(设计)10华人 麻州、纽约被捕 诈骗逾1800万 逾200多人上当,几乎都是华人!高尔夫搞外交,对安倍有回报上科大团队开发了一种面向未来光学AI的节能、轻量级、深度学习算法简单钓鱼文件制作——Word邮件与CSV注入俄罗斯的抗打能力(ZT)马斯克大砍刀下来了!一封邮件炒掉全公司一半员工:骂我可以,先给8刀!FBI逮捕2名华人富豪·10年移民骗局150人上当…刺激!3天前喝醉无意写的一封邮件,帮我接到高盛面试大话西游20:菩提祖师到底属于那一派?为什么说孙悟空上当了?我想跟刘与操聊聊假假條,结果他给我发了篇论文淦!我修改了50遍的简历,还不如室友发的一封邮件BB鸭 | ​双十一价保延长至27天;Mate 50 Pro正式支持口罩解锁;罗永浩或在淘宝直播;科大讯飞公开钓鱼辅助专利看了60多家公司财报,我们发现中国游戏厂商出海已步入新阶段!拆了 iPhone 14 后,他们发现了一个能让用户省一大笔钱的设计苦瓜上市 - 炒牛肉1.5万人上当!日本公司曝大丑闻:装模作样检测核废水,实际仪器根本就没这功能【社会】度假者注意了!新型诈骗方式已出现,不少人上当受骗澳洲留学生被骗120万! 只因一封大学邮件, 骗子竟“安抚鼓励”后才消失中科院化学所、上科大、中科院大学等被列为美国商务部新清单名录面对特朗普,拜登果然又上当了!
logo
联系我们隐私协议©2024 redian.news
Redian新闻
Redian.news刊载任何文章,不代表同意其说法或描述,仅为提供更多信息,也不构成任何建议。文章信息的合法性及真实性由其作者负责,与Redian.news及其运营公司无关。欢迎投稿,如发现稿件侵权,或作者不愿在本网发表文章,请版权拥有者通知本网处理。