酷应用

新闻
- 看点
- 观点
- 读点
- 热点
科技
- 数码
- 软件
- 应用
- 极客
企服
- 电商
- 运营
- 移动
- 访谈
- 动态
- 招聘
- 访谈
- 百家
安全
- 业界
- 快讯
- 技术
- 校园
- 工具
文娱
- 明星
- 影视
- 音乐
- 网娱
- 韩娱
- 词典
游戏
- 手游
- 页游
- 端游
好货
- 报道
- 值得买
- 健康

中科大给师生们发了一封钓鱼邮件，结果3000多人上当了。

百家作者：差评 2022-09-10 05:54:07

昨天世超看到一个新闻，可乐了好一会。

中科大为了提升大家的网络安全意识，给 4 万名师生发了一封?“?钓鱼邮件?”。

内容就是学校定制的月饼礼盒供不应求，邮箱管理中心部门特地采购了一批，以抽奖的形式回馈给大家。

当然，这种好事外人肯定享受不到，为了证明你是自己人，要填入身份信息。

要知道中科大每年中秋都会搞点特色月饼。

比如 2020 年就把月饼的外包装做成了《?天体物理概论?》等教科书的样子，在网上小火了一把。

你想想，这种月饼届的小网红，想买买不到，现在有机会抽奖获得，换我我也想试哇。

最后，4 万封钓鱼邮件，有 3500?名师生成功上当，填写了个人信息。

?提交后他们才发现自己真中奖了——原地上了一堂的课。

这堂课详细教了大家如何辨别钓鱼邮件。

像是中科大邮件地址是 ustc.edu.cn ，不是钓鱼邮件里的 vstc.edu.cn 。身份登录页面的域名，也不是中科大的。

最骚的是中科大压根没有?“?邮件管理中心部门?” 。

如果仔细核对电话，还会发现，真的中科大电话都是 6360?开头的，而钓鱼邮件上是?“ 36309527 ”。

尾号?9527?是不是在玩周星驰的梗??▼

课上完了还不够，这几千名中奖的人还收获了一份网络安全宣传手册。

当然，你要自己去线下领。。

别的先不说，世超倒挺想看到 3000?多人去领手册时面面相觑的样子。

好巧，你也被钓了。

?其实像中科大这样的钓鱼演习，新浪科技也整过。

今年 7 月份，新浪员工收到一封?“?员工关爱平台?”?发送的邮件，让他们尽快填写信息申请高温补贴。

结果很明显了，申请到的 “ 高温补贴 ” 成了一堂安全培训课。

看到这可能有人会说，懂了，以后有福利的链接不点就不会骗。

年轻人，钓鱼套路可是千千万呢。除了福利钓鱼，还有焦虑钓鱼。

去年，不少清华大学师生收到了一封邮件，提醒自己账号存在境外地区多次异常登录，可能已经泄露重要信息，让他们按照指示修改账号密码。

如果换做你，明明什么事也没干，突然遇到账号异常登录也会慌吧。

病急乱投医嘛，人一着急就会忽略验证邮件真实性，只想赶忙改掉密码，及时止损。

结果不少人点击链接进入了?“?清华大学电子身份系统?”，按要求填写学号、密码等信息。

提交完后他们就看到了《?2021?年钓鱼邮件演练之开?“?奖?”?说明?》

同样的，学校最后也教育了大家如何辨别钓鱼邮件，诸如清华大学邮件域名是?@tsinghua.cn，而不是这里的?@tsnighua.cn?

看，钓鱼邮件想骗你的套路有很多。

可能有人会问，这些钓鱼的人骗我一个账号能干啥呢。

这么说吧，他们目标可能是你身上的钱，也可能是整个公司的数据。

你以为黑客盗窃数据，都像电影里的那样，靠吊炸天的技术对着键盘一顿敲就完事了？

?在现实中，他们往往都要借助于社会工程学。

Check Point 曾调查了美国、加拿大、英国、德国、澳大利亚、新西兰 850?个 IT 和安全行业的人员，其中 48%?都遭遇过社会工程学。

如果你第一次听说这个词，那你可以把黑客理解为演员。

社会工程学就是黑客们为了达到目的，会伪造身份、操控心理、狂飙演技从内部员工那骗取敏感信息。

这当中最常见的手段，就是钓鱼邮件。

不管你服务器保护等级再高，数据再保密，我只要骗到内部人员的账号，就离获得敏感信息不远了。

这，不比自己对抗整个公司的防火墙来得更快，机会更大？

上世纪 80?年代有个经典案例，一个小伙子成功找到了 DEC 公司开发系统工具的编号，但是没有账号密码，编号无法发挥作用。

不过他并没有硬着头破解，而是联系了 DEC 的系统经理，假装自己是另外一个开发人员，无法登录系统。

结果对面就上当了，给他一个系统的高级访问权限。之后，他入侵了 DEC 计算机网络，窃取了该公司的专利软件。

这个小伙子就是后来?“?最著名的黑客?”?凯文?·?米特尼克。

在电脑安全性不高的 80?年代，黑客就在用社会工程学。如今 40?年过去了，黑客依然爱用。

两年前世超和差评君参加了一个网络攻防大赛。有防守队，有黑客队，我和差评君属于 NPC。

你们猜黑客那一队开攻后第一件事是干啥。

他们加上了我的好友，说给你分享一个很好用的杀毒脚本。

我就点开了一个看似无害的软件。。。

结果屏幕闪过了 CMD 窗口，就没了。

此时一个文件被执行完毕，我们的电脑已经被入侵了，整个过程只有 2- 3 秒钟。

emm ，尽管看起来不那么高大上，但不得不说社会工程学就是黑客最直接也最有效的攻击手段。

看到这里，你应该会觉得新浪、中科大搞这种钓鱼演习还是有必要的。

让大家见识下黑客们最常用的手段，提升一下网络安全防护意识。

而且这演习还有个好处。

平时让大家学反钓鱼反诈骗时，总有人说?“?骗子不会来找我?”“?我不会被骗的?”?，但不少都被打脸了。

通过这种演习，给他们来一个当头棒喝，在上当的时候教育他们，效果可比纸上谈兵要好上一百倍吧。

撰文：刺猬?? 编辑：面线

图片、资料来源：

知乎：中科大发 4 万封「?免费送月饼?」钓鱼邮件，校方回应系「?反诈演练?」，如何评价校方行为？如何防范电信诈骗？

为了让大家识别钓鱼邮件，清华大学也是拼了

一个黑客的基本素养：社会工程学

著名的社会工程攻击：12 个狡猾的骗局

关注公众号：拾黑（shiheibook）了解更多

[广告]赞助链接：

四季很好，只要有你，文娱排行榜：https://www.yaopaiming.com/
让资讯触达的更精准有趣：https://www.0xu.cn/

*文章为作者独立观点，不代表爱尖刀立场

本文由差评发表，转载此文章须经作者同意，并请附上出处( 爱尖刀 )及本页链接。

原文链接 https://www.ijiandao.com/2b/baijia/442350.html

中科大中国科学技术大学

图库

公众号

关注网络尖刀微信公众号
随时掌握互联网精彩

赞助链接

百度热搜榜

排名热点搜索指数