中科大发4万封免费送月饼钓鱼邮件，校方称系反诈演练

上游新闻记者 赵映骥 编辑 向家庆

每年中秋节，中国科技大学制作的特色月饼都会成为“抢手货”。今年中秋节前夕，有中科大学生在小红书发帖称收到了“中秋免费月饼领取”的邮件，点开填写资料后月饼没领到，却发现是钓鱼邮件。

这个钓鱼邮件是怎么回事？9月8日上午，上游新闻（报料邮箱[email protected]）记者采访了中科大网络信息中心的程老师，他表示这是一次官方“整活”：“最近国家网络安全宣传周在合肥举行，我们学校希望借此机会用一种新的方式推广网络安全知识，提高反诈意识，于是选择进行了全校首次钓鱼邮件演练。”

1、 大一新生“中招”最多

都说“官方整活最为致命”，一名9月7日收到了钓鱼邮件的中科大学生告诉记者：“这个邮件一看就是非常了解学校业务，知道中秋节期间一饼难求，所以选择了免费送月饼这个点，果然不少同学中招。”

据程老师透露：“昨天下午（9月7日）下午5点半，我们利用大家刚放学思想比较松懈的机会，在一个小时发送了4万多封邮件，这些邮件全部针对中科大校内的师生，其中学生有3万多人，教职工有6000多人。结果中招的人并不少，晚上6点半-7点半的时候，钓鱼网站的访问人数高达8000人次，大大超过了我们的预期。”

中科大学生小杨（化名）因为没有甄别邮件是否存在钓鱼风险，认真填写了相关资料，结果不幸“中招”，访问了钓鱼页面：“你中‘奖’了，这是由学校开展的钓鱼邮件演练，我们非常不幸地通知您：由于您在本次演练中未能第一时间识别出钓鱼邮件，因此来到了这个页面……”事后他也把这段经历发到了小红书上。

类似小杨经历的学生并不少，程老师告诉记者：“这次演练当中，有不少同学填写了真实资料，其中人数最多的是本科一年级的新生，他们相关网络安全知识比较欠缺，下一步我们会着重对他们进行网络安全培训。” 

2、 有学生攻击了钓鱼服务器

在众多师生当中，有人不幸“中招”，也有人保持了清醒，部分清醒学生的应对措施让程老师都直呼内行：“我们在后台看到，部分学生提交了虚假信息，说明他们有了防范意识；还有学生对我们的钓鱼网站进行了DDOS攻击，他们还在QQ群分享说免费的靶场来了，不打白不打，当时一度把钓鱼网站整瘫痪了。不过在这次演练之前，我们向清华大学取经时，他们就提示了肯定会有学生会攻击，因此我们也做了防范措施，所以最后并未造成服务器的损失。”

为了避免钓鱼邮件演练变成“狼来了”，让学校的师生对官方发布的邮件失去信任，程老师表示他们对方案进行了调整，留下了很多“马脚”：“其实我们最初是考虑用提示电脑发现挖矿行为的通知邮件，可这么做可能未来遇到有电脑被劫持挖矿，使用的师生还不信提示了，所以改成了更宽泛的“送月饼”。其实如果足够细心，是可以看出很多‘马脚’的，首先中科大的邮箱缩写是USTC，我们的邮箱缩写是VSTC；中科大邮件管理中心是个虚构部门；最后邮件联系电话0551-36309527也是假的，中科大的电话都是6360开头的。”

由于本次的钓鱼邮件演练效果很棒，程老师表示下一步的演练计划也在筹划当中：“这次主要针对的是全体师生，后面我们会不定期针对不同人群进行钓鱼邮件演练，提高全校的网络安全防范意识。”

文章来源：上游新闻