中科大官方整活！4 万封钓鱼邮件，3000 多人中招……

大家中秋节有没有吃月饼啊？

中秋节之际，不少高校免费发放中秋月饼。

但有的学校发月饼，有的学校发的却是月饼钓鱼邮件！

近日，有中科大学生在网上发文，称收到了学校发出的“中秋免费领取月饼”的邮件，没成想填写资料后，月饼没领到反倒被“教育”了。

这到底是怎么回事呢？

9 月 7 日，下午六点，中科大网络信息中心的老师们利用师生比较松懈的时机，搞了一次官方钓鱼活动。

校方向全校师生发放 4 万封“免费送月饼”的钓鱼邮件，测试师生们的反诈骗能力。

乍一看上去，好像没问题。

正值中秋，学校送月饼合情合理，礼盒数量有限抽奖领取，也情有可原。最最重要的发件方是中科大邮件管理中心，官方信任背书，看上去就是一封正常的学校送月饼邮件。

然而，当真你就输了！

这其实是一封设计精妙的诈骗邮件，根据中科大后续的《钓鱼邮件安全演练情况通报》，此邮件有 4 个明显的“漏洞”。

包括仿冒的发件人地址、不存在的邮件管理中心部门、伪造的统一身份认证登录页面以及错误的联系电话。

这份邮件全部发放给中科大校内的师生，面对这份漏洞百出的邮件，有 3100 余位学生、400 余位教职工中招。

有人中招，当然也有人反攻。

发送完钓鱼邮件之后，中科大钓鱼网站的服务器便遭到了攻击，钓鱼网站一度被学生的 DDOS 攻击打到瘫痪。

但根据中科大网络信息中心的程老师采访时回复，这次钓鱼演练中，还是有不少同学填写了个人真实信息，其中人数最多的是本科一年级新生，此次演练中招人数大大超过了校方预期。

哎，只能说大一新生还是涉世太浅，对自己的学校太信任了啊！

其实，中科大不是第一个发放钓鱼邮件的高校，不少高校都曾做过邮件反诈演练。

2014 年 4 月 14 日，上海大学信息办发“钓鱼邮件”给学生，测试学生对于网络诈骗邮件的敏感度。

2021 年 5 月 18 日，北京大学以“北京大学后勤管理处”的名义向师生发放了一封“新冠疫苗注射统计”为主题的钓鱼邮件。

同样是虚构了一个不存在的部门，4 万余名师生中，有 54% 的师生阅读了该邮件，约 5000 名师生点击了邮件链接，并有约 2000 名师生在链接登录页面输入了用户名和密码。

2021 年 12 月 1 日，清华大学给全校师生发放《异常行为登录警告》邮件，有 3165人点开了钓鱼链接，397 人试图上传密码。

此外，还有众多高校也都开启了邮件反诈演练，如东南大学、浙江理工大学、北京信息科技大学等等。

狐妹看了只能感慨一句：高校套路深啊！

高校为何频频“钓鱼”演练呢？

这事说起来，还是跟高校网络经常被攻击有关。

前不久，国家计算机病毒应急处理中心和360公司分别发布了关于西北工业大学遭受境外网络攻击的调查报告。

报告显示，近年里，美国NSA下属TAO对中国国内的网络目标实施了上万次的恶意网络攻击，控制了数以万计的网络设备，窃取了超过140GB的高价值数据。

这些钓鱼邮件利用伪装的电子邮件，引导收件人访问特制的网页链接，窃取师生个人信息、高校数据资料等。

虽然攻击手法较为常见，但迷惑性极强，稍微不慎便着了道。

*图片来源中国科学科技大学

根据中科大官方公众号消息， 2022 年 1 月至 8 月，该校邮件服务器有 921 个账号被黑客窃取密码发送垃圾邮件，平均每天近 4 个账号被窃取密码。

因此，像中科大、西工大、清华北大类的重点高校通过钓鱼邮件演练来提高师生反诈意识，就显得尤为重要。

这样看起来，中科大这一次反诈演练也是用心良苦，给全校师生上了生动的一课，也给涉世未深的学生提个醒。

毕竟，人只有切身经历过，才会对被骗一事深有体会。

最后，狐妹提醒一下，在使用邮箱时，慎点邮件网址链接，对于需要输入身份信息的链接，保持警惕心，以免有病毒入侵。

参考资料：

中国青年报：免费送月饼？高校发4万多封钓鱼邮件，结果……

IT之家：笑死！中科大进行“反诈演练”发4万封钓鱼邮件，反被学生DDOS攻击到瘫痪

微博截图

编辑：麦辛