中科大发4万封免费送月饼钓鱼邮件给师生，网友：学校太会整活了

关键词

钓鱼网站

临近中秋节，多所高校推出中秋月饼。

比如每年中秋节，中国科技大学制作的特色月饼都会成为“抢手货”，有时候还买不到。

如果这时候收到一封学校发的点击免费送月饼邮件，谁会不心动呢？

学校发4万多封钓鱼邮件

只为这个

近日有中国科学技术大学学生在社交媒体发帖称，收到了学校发的“中秋免费月饼领取” 的邮件，但填写资料后却没有领到月饼，反倒把自己信息泄露了......

据上游新闻消息，9月8日上午，中科大网络信息中心程老师表示，这其实是一次官方“整活”，是“全校首次钓鱼邮件演练。”

程老师表示：“最近国家网络安全宣传周在合肥举行，我们学校希望借此机会用一种新的方式推广网络安全知识，提高反诈意识，于是选择进行了全校首次钓鱼邮件演练。”

都说“官方整活最为致命”，一名9月7日收到了钓鱼邮件的中科大学生告诉记者：“这个邮件一看就是非常了解学校业务，知道中秋节期间一饼难求，所以选择了免费送月饼这个点，果然不少同学中招。”

据程老师透露：“9月7日下午5点半，我们利用大家刚放学思想比较松懈的机会，在一个小时发送了4万多封邮件，这些邮件全部针对中科大校内的师生，其中学生有3万多人，教职工有6000多人。结果中招的人并不少，晚上6点半-7点半的时候，钓鱼网站的访问人数高达8000人次，大大超过了我们的预期。”

中科大学生小杨（化名）因为没有甄别邮件是否存在钓鱼风险，认真填写了相关资料，结果不幸“中招”，访问了钓鱼页面：“你中‘奖’了，这是由学校开展的钓鱼邮件演练，我们非常不幸地通知您：由于您在本次演练中未能第一时间识别出钓鱼邮件，因此来到了这个页面……”事后他也把这段经历发到了小红书上。

后根据学校发的钓鱼邮件复盘：

本次活动模拟黑客向全校师生发送钓鱼邮件，邮件主题为“中秋免费月饼领取”，以免费赠送月饼礼盒为由，诱导用户点击校外链接，在伪造的统一身份认证页面输入个人信息。

此次演练共向全校师生发送模拟钓鱼邮件45000余封（其中学生38000余封，教工6000余封），截止2022年9月8日上午，共有3500余人在伪造的统一身份认证界面提交了信息(其中学生3100余人，教工400余人)。

本次钓鱼邮件演练中，我们精心设计了几个常见的钓鱼“漏洞”：

1.仿冒的发件人地址：“vstc.edu.cn” ；
2.不存在的科大部门：“中科大邮箱管理中心”；
3.伪造的统一身份认证登录页面：非科大域名；
4.错误的联系电话：非6360开头。

对于在本次演习中输入了真实用户信息的师生，我们欢迎您于本月19日之后前往东校区、西校区和高新园区的一卡通服务部，领取网络安全宣传手册。

此次演练旨在提升师生的网络安全意识。演练不会记录您的密码，不会对您的系统和设备造成影响。

为持续提升广大师生的反诈骗能力，今后我校将会不定期开展钓鱼邮件演练。学习更多钓鱼邮件防护技巧，请关注中国科学技术大学网络信息服务公众号。

还有学生反攻了钓鱼服务器

虽然中招的师生不少，但也有人保持了清醒，部分清醒学生的应对措施让程老师都直呼内行：“我们在后台看到，部分学生提交了虚假信息，说明他们有了防范意识；还有学生对我们的钓鱼网站进行了DDOS攻击，他们还在QQ群分享说免费的靶场来了，不打白不打，当时一度把钓鱼网站整瘫痪了。不过在这次演练之前，我们向清华大学取经时，他们就提示了肯定会有学生会攻击，因此我们也做了防范措施，所以最后并未造成服务器的损失。”

为了避免钓鱼邮件演练变成“狼来了”，让学校的师生对官方发布的邮件失去信任，程老师表示他们对方案进行了调整，留下了很多“马脚”：“其实我们最初是考虑用提示电脑发现挖矿行为的通知邮件，可这么做可能未来遇到有电脑被劫持挖矿，使用的师生还不信提示了，所以改成了更宽泛的“送月饼”。

其实如果足够细心，是可以看出很多‘马脚’的，首先中科大的邮箱缩写是USTC，我们的邮箱缩写是VSTC；中科大邮件管理中心是个虚构部门；最后邮件联系电话0551-36309527也是假的，中科大的电话都是6360开头的。”

由于本次的钓鱼邮件演练效果很棒，程老师表示下一步的演练计划也在筹划当中：“这次主要针对的是全体师生，后面我们会不定期针对不同人群进行钓鱼邮件演练，提高全校的网络安全防范意识。”

校园邮箱反诈很重要

不少高校都曾搞过“钓鱼执法”

前不久，西北工业大学发布《公开声明》称，该校遭受境外网络攻击。已经查实为美国国家安全局（NSA）“特定入侵行动办公室”所为。

近年里，美国NSA下属TAO对中国国内的网络目标实施了上万次的恶意网络攻击，控制了数以万计的网络设备（网络服务器、上网终端、网络交换机、电话交换机、路由器、防火墙等），窃取了超过140GB的高价值数据。

因此，像中科大这样通过钓鱼邮件来提高师生反诈意识，就显得尤为重要。

大多数科研人都习惯使用校园邮箱来发送学术邮件、投稿、进行学术交流。

但在互联网上随便搜搜相关关键词「邮箱泄密通知」，可以看到很多大学和政府机构发过有关邮箱的通告，内容一般会包括「接上级 xx 部门通知，近期发现我国大量某重要机关电子邮箱遭渗透攻击，存在失泄密风险」。

如果不提高反诈意识，往小了说会泄露个人信息，往大了说如果校园邮箱被盗用对外大量发送垃圾邮件，会被国际反垃圾邮件机构列入黑名单，影响在校同学、老师的正常对外学术交流，更严重会泄露一些机密。

所以不少高校都会通过一些“钓鱼执法”演练，来让大家提高安全意识。