中科大遭钓鱼邮件攻击了？3500名师生中招

近日有中国科学技术大学学生在社交媒体发帖称，收到了学校发的“中秋免费月饼领取” 的邮件，但填写资料后没有领到月饼，却反倒把自己信息泄露了。

据新闻消息，9月8日上午，中科大网络信息中心程老师表示，这其实是一次官方“整活”，是“全校首次钓鱼邮件演练。”

程老师称：“9月7日下午5点半，我们利用大家刚放学思想比较松懈的机会，在一个小时发送了4万多封邮件，这些邮件全部针对中科大校内的师生，其中学生有3万多人，教职工有6000多人。结果中招的人并不少，晚上6点半-7点半的时候，钓鱼网站的访问人数高达8000人次，大大超过了我们的预期。”

程老师表示：最近国家网络安全宣传周在合肥举行，我们学校希望借此机会用一种新的方式推广网络安全知识，提高反诈意识，于是选择进行了全校首次钓鱼邮件演练。

本次活动模拟黑客向全校师生发送钓鱼邮件，邮件主题为“中秋免费月饼领取”，以免费赠送月饼礼盒为由，诱导用户点击校外链接，在伪造的统一身份认证页面输入个人信息。

此次演练共向全校师生发送模拟钓鱼邮件45000余封（其中学生38000余封，教工6000余封），截止2022年9月8日上午，共有3500余人在伪造的统一身份认证界面提交了信息(其中学生3100余人，教工400余人)。

本次钓鱼邮件演练中，校方精心设计了几个常见的钓鱼“漏洞”：

1.仿冒的发件人地址：“vstc.edu.cn” ；

2.不存在的科大部门：“中科大邮箱管理中心”；

3.伪造的统一身份认证登录页面：非科大域名；

4.错误的联系电话0551-36309527，而中科大的电话都是6360开头。

程老师称：虽然中招的师生不少，但也有人保持了清醒，部分学生提交了虚假信息，还对我们的钓鱼网站进行了DDOS攻击，一度把钓鱼网站打到瘫痪。

程老师表示下一步的演练计划也在筹划当中：“这次主要针对的是全体师生，后面我们会不定期针对不同人群进行钓鱼邮件演练，提高全校的网络安全防范意识。”

虽然此次钓鱼邮件攻击只是演练，但仍有不少师生中招，这点必须引起足够重视。

因为即使系统中一封邮件入侵成功，那么也可能产生连锁反应，1、假冒身份，牵连“熟人上钩”；2、如果这封邮件携带勒索软件或木马病毒，那么将造成持续性威胁，损失会更大。

中科大这次钓鱼邮件测试是非常有必要的，检验出了学生和教职工对邮件攻击的防范意识。在网络攻击频繁的当下，更精准的制定下一步的防护策略，在真正威胁来临之前做好准备。

建议政企高校，提前部署安全防护策略，不定期检验防护意识和策略能力，确保防护无差漏。那么，具体策略如下：

1、 数据具有易复制的属性，所以企业应对敏感数据进行加密储存、加密传输。确保内部数据不外泄。

2、建立分类分级管控体系。对数据进行分类分级管理，不同层级、不同部门的人员访问数据不同，实现不同部门不同职别对网络资源的访问权限管控。

3、 对传输的敏感数据进行加密后发送，进行必要的加密措施。即使黑客通过技术手段拦截获取敏感信息，也无法轻易获得真实内容。

4、企业应部署数据防泄露系统(DLP)，一旦有敏感数据外发，可及时阻断，有效防止员工无意或恶意将内部涉密数据泄露。

5、关键系统、重要账号登录应设置唯一独立且由数字+字母+符号的高强度密码。这一点非常重要，不能使用其他常用密码，避免密码被窃，撞库引发的数据泄露。

6、定期对内部进行必要的网络安全知识普及和必要的检查测试，让内部人员提高警惕，仔细核对邮件地址内容，不轻信来源不明的电子邮件和地址链接，如发现异常，非专业安全人员，不要尝试反攻击，应及时向有关部门反映，将损失降到最低。