每年中秋节,中国科技大学制作的特色月饼都会成为“抢手货”。今年中秋节前夕,有中科大学生在小红书发帖称收到了“中秋免费月饼领取”的邮件,点开填写资料后月饼没领到,却发现是钓鱼邮件。
这个钓鱼邮件是怎么回事?9月8日上午,记者采访了中科大网络信息中心的程老师,他表示这是一次官方“整活”:“最近国家网络安全宣传周在合肥举行,我们学校希望借此机会用一种新的方式推广网络安全知识,提高反诈意识,于是选择进行了全校首次钓鱼邮件演练。”
中科大师生收到的钓鱼邮件
大一新生“中招”最多
都说“官方整活最为致命”,一名9月7日收到了钓鱼邮件的中科大学生告诉记者:“这个邮件一看就是非常了解学校业务,知道中秋节期间一饼难求,所以选择了免费送月饼这个点,果然不少同学中招。”
据程老师透露:“昨天下午(9月7日)下午5点半,我们利用大家刚放学思想比较松懈的机会,在一个小时发送了4万多封邮件,这些邮件全部针对中科大校内的师生,其中学生有3万多人,教职工有多人。结果中招的人并不少,晚上6点半-7点半的时候,钓鱼网站的访问人数高达人次,大大超过了我们的预期。”
中科大学生小杨(化名)因为没有甄别邮件是否存在钓鱼风险,认真填写了相关资料,结果不幸“中招”,访问了钓鱼页面:“你中‘奖’了,这是由学校开展的钓鱼邮件演练,我们非常不幸地通知您:由于您在本次演练中未能第一时间识别出钓鱼邮件,因此来到了这个页面……”事后他也把这段经历发到了小红书上。
类似小杨经历的学生并不少,程老师告诉记者:“这次演练当中,有不少同学填写了真实资料,其中人数最多的是本科一年级的新生,他们相关网络安全知识比较欠缺,下一步我们会着重对他们进行网络安全培训。”
“中招”后的页面
有学生攻击了钓鱼服务器
在众多师生当中,有人不幸“中招”,也有人保持了清醒,部分清醒学生的应对措施让程老师都直呼内行:“我们在后台看到,部分学生提交了虚假信息,说明他们有了防范意识;还有学生对我们的钓鱼网站进行了DDOS攻击,他们还在QQ群分享说免费的靶场来了,不打白不打,当时一度把钓鱼网站整瘫痪了。不过在这次演练之前,我们向清华大学取经时,他们就提示了肯定会有学生会攻击,因此我们也做了防范措施,所以最后并未造成服务器的损失。”
为了避免钓鱼邮件演练变成“狼来了”,让学校的师生对官方发布的邮件失去信任,程老师表示他们对方案进行了调整,留下了很多“马脚”:“其实我们最初是考虑用提示电脑发现挖矿行为的通知邮件,可这么做可能未来遇到有电脑被劫持挖矿,使用的师生还不信提示了,所以改成了更宽泛的“送月饼”。其实如果足够细心,是可以看出很多‘马脚’的,首先中科大的邮箱缩写是USTC,我们的邮箱缩写是VSTC;中科大邮件管理中心是个虚构部门;最后邮件联系电话也是假的,中科大的电话都是开头的。”
由于本次的钓鱼邮件演练效果很棒,程老师表示下一步的演练计划也在筹划当中:“这次主要针对的是全体师生,后面我们会不定期针对不同人群进行钓鱼邮件演练,提高全校的网络安全防范意识。”