昨天世超看到一個(gè)新聞����,可樂了好一會(huì)。
中科大為了提升大家的網(wǎng)絡(luò)安全意識(shí),給 4 萬名師生發(fā)了一封 “ 釣魚郵件 ”。
內(nèi)容就是學(xué)校定制的月餅禮盒供不應(yīng)求���,郵箱管理中心部門特地采購了一批����,以抽獎(jiǎng)的形式回饋給大家。
(相關(guān)資料圖)
當(dāng)然����,這種好事外人肯定享受不到,為了證明你是自己人��,要填入身份信息���。
要知道中科大每年中秋都會(huì)搞點(diǎn)特色月餅�。
比如 2020 年就把月餅的外包裝做成了《 天體物理概論 》等教科書的樣子��,在網(wǎng)上小火了一把�。
你想想�,這種月餅屆的小網(wǎng)紅,想買買不到����,現(xiàn)在有機(jī)會(huì)抽獎(jiǎng)獲得,換我我也想試哇����。
最后��,4 萬封釣魚郵件�,有 3500 名師生成功上當(dāng)�����,填寫了個(gè)人信息����。
提交后他們才發(fā)現(xiàn)自己真中獎(jiǎng)了——原地上了一堂的課。
這堂課詳細(xì)教了大家如何辨別釣魚郵件��。
像是中科大郵件地址是 ustc.edu.cn ����,不是釣魚郵件里的 vstc.edu.cn 。身份登錄頁面的域名���,也不是中科大的����。
最騷的是中科大壓根沒有 “ 郵件管理中心部門 ” ��。
如果仔細(xì)核對(duì)電話,還會(huì)發(fā)現(xiàn)����,真的中科大電話都是 6360 開頭的,而釣魚郵件上是 “ 36309527 ”����。
尾號(hào) 9527 是不是在玩周星馳的梗 ▼
課上完了還不夠,這幾千名中獎(jiǎng)的人還收獲了一份網(wǎng)絡(luò)安全宣傳手冊(cè)���。
當(dāng)然�����,你要自己去線下領(lǐng)�。���。
別的先不說,世超倒挺想看到 3000 多人去領(lǐng)手冊(cè)時(shí)面面相覷的樣子����。
好巧,你也被釣了���。
其實(shí)像中科大這樣的釣魚演習(xí)��,新浪科技也整過��。
今年 7 月份����,新浪員工收到一封 “ 員工關(guān)愛平臺(tái) ” 發(fā)送的郵件,讓他們盡快填寫信息申請(qǐng)高溫補(bǔ)貼�。
結(jié)果很明顯了,申請(qǐng)到的 “ 高溫補(bǔ)貼 ” 成了一堂安全培訓(xùn)課���。
看到這可能有人會(huì)說��,懂了���,以后有福利的鏈接不點(diǎn)就不會(huì)騙。
年輕人�����,釣魚套路可是千千萬呢���。除了福利釣魚�,還有焦慮釣魚。
去年��,不少清華大學(xué)師生收到了一封郵件�,提醒自己賬號(hào)存在境外地區(qū)多次異常登錄,可能已經(jīng)泄露重要信息��,讓他們按照指示修改賬號(hào)密碼�����。
如果換做你���,明明什么事也沒干�,突然遇到賬號(hào)異常登錄也會(huì)慌吧�。
病急亂投醫(yī)嘛,人一著急就會(huì)忽略驗(yàn)證郵件真實(shí)性��,只想趕忙改掉密碼���,及時(shí)止損����。
結(jié)果不少人點(diǎn)擊鏈接進(jìn)入了 “ 清華大學(xué)電子身份系統(tǒng) ”���,按要求填寫學(xué)號(hào)����、密碼等信息��。
提交完后他們就看到了《 2021 年釣魚郵件演練之開 “ 獎(jiǎng) ” 說明》
同樣的���,學(xué)校最后也教育了大家如何辨別釣魚郵件�����,諸如清華大學(xué)郵件域名是 @tsinghua.cn�,而不是這里的 @tsnighua.cn
看����,釣魚郵件想騙你的套路有很多。
可能有人會(huì)問���,這些釣魚的人騙我一個(gè)賬號(hào)能干啥呢���。
這么說吧,他們目標(biāo)可能是你身上的錢��,也可能是整個(gè)公司的數(shù)據(jù)。
你以為黑客盜竊數(shù)據(jù)�,都像電影里的那樣,靠吊炸天的技術(shù)對(duì)著鍵盤一頓敲就完事了���?
在現(xiàn)實(shí)中�����,他們往往都要借助于社會(huì)工程學(xué)�。
Check Point 曾調(diào)查了美國�����、加拿大���、英國�、德國�、澳大利亞、新西蘭 850 個(gè) IT 和安全行業(yè)的人員�,其中 48% 都遭遇過社會(huì)工程學(xué)。
如果你第一次聽說這個(gè)詞�����,那你可以把黑客理解為演員����。
社會(huì)工程學(xué)就是黑客們?yōu)榱诉_(dá)到目的,會(huì)偽造身份�����、操控心理�����、狂飆演技從內(nèi)部員工那騙取敏感信息��。
這當(dāng)中最常見的手段���,就是釣魚郵件�����。
不管你服務(wù)器保護(hù)等級(jí)再高���,數(shù)據(jù)再保密,我只要騙到內(nèi)部人員的賬號(hào)����,就離獲得敏感信息不遠(yuǎn)了��。
這�����,不比自己對(duì)抗整個(gè)公司的防火墻來得更快�����,機(jī)會(huì)更大����?
上世紀(jì) 80 年代有個(gè)經(jīng)典案例����,一個(gè)小伙子成功找到了 DEC 公司開發(fā)系統(tǒng)工具的編號(hào),但是沒有賬號(hào)密碼�����,編號(hào)無法發(fā)揮作用���。
不過他并沒有硬著頭破解��,而是聯(lián)系了 DEC 的系統(tǒng)經(jīng)理���,假裝自己是另外一個(gè)開發(fā)人員����,無法登錄系統(tǒng)�����。
結(jié)果對(duì)面就上當(dāng)了�,給他一個(gè)系統(tǒng)的高級(jí)訪問權(quán)限��。之后���,他入侵了 DEC 計(jì)算機(jī)網(wǎng)絡(luò)�,竊取了該公司的專利軟件����。
這個(gè)小伙子就是后來 “ 最著名的黑客 ” 凱文 · 米特尼克。
在電腦安全性不高的 80 年代�,黑客就在用社會(huì)工程學(xué)。如今 40 年過去了�,黑客依然愛用�。
兩年前世超和差評(píng)君參加了一個(gè)網(wǎng)絡(luò)攻防大賽���。有防守隊(duì)�,有黑客隊(duì)���,我和差評(píng)君屬于 NPC��。
你們猜黑客那一隊(duì)開攻后第一件事是干啥���。
他們加上了我的好友,說給你分享一個(gè)很好用的殺毒腳本�����。
我就點(diǎn)開了一個(gè)看似無害的軟件�。。���。
結(jié)果屏幕閃過了 CMD 窗口��,就沒了�。
此時(shí)一個(gè)文件被執(zhí)行完畢,我們的電腦已經(jīng)被入侵了���,整個(gè)過程只有 2- 3 秒鐘����。
emm ���,盡管看起來不那么高大上��,但不得不說社會(huì)工程學(xué)就是黑客最直接也最有效的攻擊手段。
看到這里���,你應(yīng)該會(huì)覺得新浪�、中科大搞這種釣魚演習(xí)還是有必要的����。
讓大家見識(shí)下黑客們最常用的手段,提升一下網(wǎng)絡(luò)安全防護(hù)意識(shí)��。
而且這演習(xí)還有個(gè)好處��。
平時(shí)讓大家學(xué)反釣魚反詐騙時(shí)���,總有人說 “ 騙子不會(huì)來找我 ”“ 我不會(huì)被騙的 ” ���,但不少都被打臉了��。
通過這種演習(xí)����,給他們來一個(gè)當(dāng)頭棒喝���,在上當(dāng)?shù)臅r(shí)候教育他們�����,效果可比紙上談兵要好上一百倍吧����。
撰文:刺猬編輯:面線
關(guān)鍵詞:
社會(huì)工程學(xué)
清華大學(xué)
營(yíng)業(yè)執(zhí)照公示信息