昨天世超看到一個新聞,可樂了好一會��。
中科大為了提升大家的網(wǎng)絡(luò)安全意識����,給 4 萬名師生發(fā)了一封 “ 釣魚郵件 ”����。
內(nèi)容就是學校定制的月餅禮盒供不應(yīng)求,郵箱管理中心部門特地采購了一批��,以抽獎的形式回饋給大家�����。
(相關(guān)資料圖)
當然,這種好事外人肯定享受不到��,為了證明你是自己人���,要填入身份信息�。
要知道中科大每年中秋都會搞點特色月餅��。
比如 2020 年就把月餅的外包裝做成了《 天體物理概論 》等教科書的樣子����,在網(wǎng)上小火了一把。
你想想�,這種月餅屆的小網(wǎng)紅,想買買不到�,現(xiàn)在有機會抽獎獲得,換我我也想試哇�。
最后,4 萬封釣魚郵件�,有 3500 名師生成功上當,填寫了個人信息���。
提交后他們才發(fā)現(xiàn)自己真中獎了——原地上了一堂的課�。
這堂課詳細教了大家如何辨別釣魚郵件。
像是中科大郵件地址是 ustc.edu.cn �����,不是釣魚郵件里的 vstc.edu.cn ��。身份登錄頁面的域名��,也不是中科大的�。
最騷的是中科大壓根沒有 “ 郵件管理中心部門 ” �。
如果仔細核對電話,還會發(fā)現(xiàn)���,真的中科大電話都是 6360 開頭的�,而釣魚郵件上是 “ 36309527 ”����。
尾號 9527 是不是在玩周星馳的梗 ▼
課上完了還不夠,這幾千名中獎的人還收獲了一份網(wǎng)絡(luò)安全宣傳手冊�����。
當然�����,你要自己去線下領(lǐng)。�����。
別的先不說���,世超倒挺想看到 3000 多人去領(lǐng)手冊時面面相覷的樣子���。
好巧,你也被釣了�����。
其實像中科大這樣的釣魚演習��,新浪科技也整過�。
今年 7 月份,新浪員工收到一封 “ 員工關(guān)愛平臺 ” 發(fā)送的郵件�����,讓他們盡快填寫信息申請高溫補貼�����。
結(jié)果很明顯了,申請到的 “ 高溫補貼 ” 成了一堂安全培訓課����。
看到這可能有人會說���,懂了����,以后有福利的鏈接不點就不會騙�。
年輕人,釣魚套路可是千千萬呢����。除了福利釣魚,還有焦慮釣魚���。
去年�,不少清華大學師生收到了一封郵件����,提醒自己賬號存在境外地區(qū)多次異常登錄����,可能已經(jīng)泄露重要信息���,讓他們按照指示修改賬號密碼����。
如果換做你��,明明什么事也沒干�����,突然遇到賬號異常登錄也會慌吧�����。
病急亂投醫(yī)嘛��,人一著急就會忽略驗證郵件真實性��,只想趕忙改掉密碼���,及時止損���。
結(jié)果不少人點擊鏈接進入了 “ 清華大學電子身份系統(tǒng) ”�,按要求填寫學號���、密碼等信息���。
提交完后他們就看到了《 2021 年釣魚郵件演練之開 “ 獎 ” 說明》
同樣的,學校最后也教育了大家如何辨別釣魚郵件���,諸如清華大學郵件域名是 @tsinghua.cn,而不是這里的 @tsnighua.cn
看���,釣魚郵件想騙你的套路有很多��。
可能有人會問�����,這些釣魚的人騙我一個賬號能干啥呢�����。
這么說吧��,他們目標可能是你身上的錢��,也可能是整個公司的數(shù)據(jù)����。
你以為黑客盜竊數(shù)據(jù),都像電影里的那樣����,靠吊炸天的技術(shù)對著鍵盤一頓敲就完事了?
在現(xiàn)實中���,他們往往都要借助于社會工程學�����。
Check Point 曾調(diào)查了美國���、加拿大、英國����、德國、澳大利亞、新西蘭 850 個 IT 和安全行業(yè)的人員���,其中 48% 都遭遇過社會工程學����。
如果你第一次聽說這個詞�����,那你可以把黑客理解為演員����。
社會工程學就是黑客們?yōu)榱诉_到目的,會偽造身份����、操控心理�����、狂飆演技從內(nèi)部員工那騙取敏感信息���。
這當中最常見的手段�,就是釣魚郵件。
不管你服務(wù)器保護等級再高����,數(shù)據(jù)再保密,我只要騙到內(nèi)部人員的賬號��,就離獲得敏感信息不遠了����。
這,不比自己對抗整個公司的防火墻來得更快��,機會更大��?
上世紀 80 年代有個經(jīng)典案例�����,一個小伙子成功找到了 DEC 公司開發(fā)系統(tǒng)工具的編號����,但是沒有賬號密碼,編號無法發(fā)揮作用�����。
不過他并沒有硬著頭破解,而是聯(lián)系了 DEC 的系統(tǒng)經(jīng)理�����,假裝自己是另外一個開發(fā)人員�,無法登錄系統(tǒng)。
結(jié)果對面就上當了��,給他一個系統(tǒng)的高級訪問權(quán)限��。之后�����,他入侵了 DEC 計算機網(wǎng)絡(luò)���,竊取了該公司的專利軟件���。
這個小伙子就是后來 “ 最著名的黑客 ” 凱文 · 米特尼克。
在電腦安全性不高的 80 年代�����,黑客就在用社會工程學�����。如今 40 年過去了�����,黑客依然愛用����。
兩年前世超和差評君參加了一個網(wǎng)絡(luò)攻防大賽。有防守隊���,有黑客隊�����,我和差評君屬于 NPC����。
你們猜黑客那一隊開攻后第一件事是干啥����。
他們加上了我的好友,說給你分享一個很好用的殺毒腳本���。
我就點開了一個看似無害的軟件�����。�。。
結(jié)果屏幕閃過了 CMD 窗口���,就沒了����。
此時一個文件被執(zhí)行完畢��,我們的電腦已經(jīng)被入侵了�����,整個過程只有 2- 3 秒鐘����。
emm ,盡管看起來不那么高大上��,但不得不說社會工程學就是黑客最直接也最有效的攻擊手段���。
看到這里�,你應(yīng)該會覺得新浪�、中科大搞這種釣魚演習還是有必要的。
讓大家見識下黑客們最常用的手段���,提升一下網(wǎng)絡(luò)安全防護意識�。
而且這演習還有個好處�����。
平時讓大家學反釣魚反詐騙時�����,總有人說 “ 騙子不會來找我 ”“ 我不會被騙的 ” ���,但不少都被打臉了�。
通過這種演習�,給他們來一個當頭棒喝,在上當?shù)臅r候教育他們�,效果可比紙上談兵要好上一百倍吧。
撰文:刺猬編輯:面線
關(guān)鍵詞:
社會工程學
清華大學
營業(yè)執(zhí)照公示信息