中科大为了提升大家的网络安全意识,给 4 万名师生发了一封 “ 钓鱼邮件 ”。内容就是学校定制的月饼礼盒供不应求,邮箱管理中心部门特地采购了一批,以抽奖的形式回馈给大家。当然,这种好事外人肯定享受不到,为了证明你是自己人,要填入身份信息。
你想想,这种月饼届的小网红,想买买不到,现在有机会抽奖获得,换我我也想试哇。
最后,4 万封钓鱼邮件,有 3500 名师生成功上当,填写了个人信息。
提交后他们才发现自己真中奖了——原地上了一堂的课。
课上完了还不够,这几千名中奖的人还收获了一份网络安全宣传手册。
当然,你要自己去线下领。。
别的先不说,世超倒挺想看到 3000 多人去领手册时面面相觑的样子。
好巧,你也被钓了。
其实像中科大这样的钓鱼演习,新浪科技也整过。
今年 7 月份,新浪员工收到一封 “ 员工关爱平台 ” 发送的邮件,让他们尽快填写信息申请高温补贴。
如果换做你,明明什么事也没干,突然遇到账号异常登录也会慌吧。
病急乱投医嘛,人一着急就会忽略验证邮件真实性,只想赶忙改掉密码,及时止损。
结果不少人点击链接进入了 “ 清华大学电子身份系统 ”,按要求填写学号、密码等信息。
教育了大家如何辨别钓鱼邮件,诸如清华大学邮件域名是 @tsinghua.cn,而不是这里的 @tsnighua.cn
看,钓鱼邮件想骗你的套路有很多。
可能有人会问,这些钓鱼的人骗我一个账号能干啥呢。
这么说吧,他们目标可能是你身上的钱,也可能是整个公司的数据。
你以为黑客盗窃数据,都像电影里的那样,靠吊炸天的技术对着键盘一顿敲就完事了?
在现实中,他们往往都要借助于社会工程学。
Check Point 曾调查了美国、加拿大、英国、德国、澳大利亚、新西兰 850 个 IT 和安全行业的人员,其中 48% 都遭遇过社会工程学。
上世纪 80 年代有个经典案例,一个小伙子成功找到了 DEC 公司开发系统工具的编号,但是没有账号密码,编号无法发挥作用。
不过他并没有硬着头破解,而是联系了 DEC 的系统经理,假装自己是另外一个开发人员,无法登录系统。
结果对面就上当了,给他一个系统的高级访问权限。之后,他入侵了 DEC 计算机网络,窃取了该公司的专利软件。
这个小伙子就是后来 “ 最著名的黑客 ” 凯文 · 米特尼克。
他们加上了我的好友,说给你分享一个很好用的杀毒脚本。
我就点开了一个看似无害的软件。。。
结果屏幕闪过了 CMD 窗口,就没了。
此时一个文件被执行完毕,我们的电脑已经被入侵了,整个过程只有 2- 3 秒钟。
emm ,尽管看起来不那么高大上,但不得不说社会工程学就是黑客最直接也最有效的攻击手段。
看到这里,你应该会觉得新浪、中科大搞这种钓鱼演习还是有必要的。
让大家见识下黑客们最常用的手段,提升一下网络安全防护意识。
而且这演习还有个好处。
平时让大家学反钓鱼反诈骗时,总有人说 “ 骗子不会来找我 ”“ 我不会被骗的 ” ,但不少都被打脸了。
通过这种演习,给他们来一个当头棒喝,在上当的时候教育他们,效果可比纸上谈兵要好上一百倍吧。