没错,我被一封钓鱼邮件诈骗了,而且被骗的非常成功。不过庆幸的是,这是学校的一次网络安全周的邮件宣传活动,对我实际上没有什么损失,反而收获一次教训。但因为很久很久没有被诈骗过了,这次「上当」了确实心有不甘。痛定思痛,决定简单写一篇受骗反思。

上一次被钓鱼诈骗

这并不是我第一次被钓鱼网站诈骗,上一次被诈骗还是我 11 岁的时候。那时智能手机还不流行,我就拿别人的手机玩上古版本的 QQ。不知道是不是想领一个游戏礼包,点击链接跳转到了类似 QQ 登录界面,然后输入了 QQ 号和密码完成受骗过程。钓鱼网站的 QQ 登录肯定是登录不上的,第二天 QQ 就被盗了,盗号者疯狂在我的 QQ 空间里发布 🟨 信息,小小年纪就体验一把社死的感觉 😭。

最后被盗 Q 号是找回来了,心态也很快平复。不过由于事情影响在被盗的第一时间我换了新 Q 号。在各种因素的影响下,新 Q 号使用至今(可惜了之前的 9️⃣ 位数 Q 号),这算是其中最深远的影响了吧。

学校的「钓鱼邮件」

下面就是我的「上钩」经历。在一个平静的白天中,我正在上课,摸鱼之时看手机收到一封邮件。

看了大概意思是这几天内改一下邮箱密码,有截止时间要求。而且想到我已经毕业,邮箱在验证上可能有需求,并且确实出现异地登录情况。

QQ截图20230922125905.png

没细想,我就把它加入我的待办事项中。从此,脑袋里就留下一个「限时任务」的印象。

image.png

几天后,晚上临睡前,手机无意看到待办事项,也看到离截止时间还有几分钟,加上待会还要 🛀,于是想着尽快完事。打开钓鱼网站后,新密码都是当场想的,于是就中招了。

123QQ截图20230922130029.png

值得一提是,在收到钓鱼邮件前,我曾经看过学校的公告提醒,但我真没细看,也没留下印象:

image.png

更那啥的是,我曾看过去年 USTC月饼钓鱼邮件 新闻,以为 TJU 不会又搞这一波 [1]。这次受骗属实怪我。

受骗因素

一个灾难的成功发生,需要 n 重失误,并精确切入到各种漏洞之中。受骗也是如此。再此,我简略总结了导致受骗发生的几点因素:

受骗因素 心理活动 社会上相关常见诈骗
伪造官方的邮件 忽视检查,轻信 伪造官网 UI、假冒「公检法」的证书诈骗、假冒警官证等。使用户确信对方身份为官方。
内容确实和自己相关 增加信任 淘宝快递诈骗、疫情密接诈骗等,骗子了解用户相关信息赢取受害者信任。
紧急期限 慌张而不谨慎 公安上门拘禁诈骗、银行卡冻结诈骗、24 小时执行死刑骗局等,利用受害者慌乱心理,使其失去理智。
认为诈骗离自己很远 盲目自信

下两图找不同,猜猜哪个是官方的?钓鱼网页共有几处漏洞?

123QQ截图20230922132848.png

123QQ截图20230922132912.png

教训

这次的演练成功警醒我,虽然可能如果钓鱼网站要获取更多信息的话,我可能会产生怀疑。但不管怎么说,点击了链接我就输了。况且骗子一般不会设计复杂流程,因为「越简单的步骤受骗成功率越高」。

image.png

如果真被骗了,除了提高防范意识外,不要太苛责自己,人无完人。遇到困难可以及时向他人寻求帮助。

后记

不过事后想想,这封开「奖」说明其实也可以做成第二重钓鱼的呢。

后续

本次活动以师生为演练对象, admln@tju.aduu.cc 作为发件人,以《关于邮箱密码过期请及时更新的通知》作为钓鱼邮件主题,总计发送钓鱼邮件 42922 封。大部分师生都看穿了钓鱼邮件的“伪装”,积极向信网中心反馈和举报,充分体现了我校师生良好的网络安全意识。此次演练旨在提升广大师生的邮件安全意识,演练过程不会记录您的账号密码,也不会对您的系统和设备造成任何影响。——天大信网

推荐防范诈骗公众号:「终结诈骗

image.png

  1. 更搞笑的是,我现在就在 USTC,月饼事件正好一周年。 ↩︎