中科大发 4 万封「免费送月饼」钓鱼邮件，校方回应系「反诈演练」，如何评价校方行为？如何防范电信诈骗？

by , at 10 September 2022, tags : 邮件诈骗钓鱼演练月饼 点击纠错 点击删除

使用CN2/CN2GIA顶级线路，支持Shadowsocks/V2ray科学上网，支持支付宝付款，每月仅需 5 美元

## 加入品葱精选 Telegram Channel ##

知乎用户搜狐新闻发表

各位老师、同学：
为配合 2022 年国家网络安全宣传周活动，提升师生防诈意识，在我校网络安全和信息化办公室的指导下，网络信息中心于昨日（9 月 7 日）开展了一次钓鱼邮件演练活动。
本次活动模拟黑客向全校师生发送钓鱼邮件，邮件主题为 “中秋免费月饼领取”，以免费赠送月饼礼盒为由，诱导用户点击校外链接，在伪造的统一身份认证页面输入个人信息。
此次演练共向全校师生发送模拟钓鱼邮件 45000 余封（其中学生 38000 余封，教工 6000 余封），截止 2022 年 9 月 8 日上午，共有 3500 余人在伪造的统一身份认证界面提交了信息 (其中学生 3100 余人，教工 400 余人)。
本次钓鱼邮件演练中，我们精心设计了几个常见的钓鱼 “漏洞”：
1. 仿冒的发件人地址：“vstc.edu.cn” ；
2. 不存在的科大部门：“中科大邮箱管理中心”；
3. 伪造的统一身份认证登录页面：非科大域名；
4. 错误的联系电话：非 6360 开头。
对于在本次演习中输入了真实用户信息的师生，我们欢迎您于本月 19 日之后前往东校区、西校区和高新园区的一卡通服务部，领取网络安全宣传手册。
此次演练旨在提升师生的网络安全意识。演练不会记录您的密码，不会对您的系统和设备造成影响。
为持续提升广大师生的反诈骗能力，今后我校将会不定期开展钓鱼邮件演练。学习更多钓鱼邮件防护技巧，请关注中国科学技术大学网络信息服务公众号。
最后也在此感谢我校网络空间安全学院、信息网络实验室 / 陆军院士工作室以及 Linux 用户协会的同学们提供的技术支持！
网络信息中心联系电话：0551-63603949
工作邮箱：netservice@ustc.edu.cn
网络信息中心
2022 年 9 月 8 日

知乎用户薛定谔的猫发表

学校里举行一些类似的反诈演练真的很有必要，因为大学生本来就是诈骗犯的重点关注对象。而且大学生的钱很多都是生活费，被诈骗走了真的蛮伤的。

我也关注到很多校园里会张贴一些反诈的宣传画，但这种宣传方式效果微乎其微，难以引起学生重视。

只有真正让学生「上当受骗」一次，才会吃一堑、长一智。

最近刚好听了检察官关于诈骗的讲座科普，检察官表示，诈骗犯为每一位诈骗对象都量身打造了一套诈骗话术，并且会充分运用前端非法获取到的公民相关信息。

比如曾经有一种针对留学生的诈骗，专门打电话告诉想要出国的留学生签证出问题了，需要把你的银行账号交给其保管。

同时，设置了第二道（虚假签证管理部门）第三道（虚假公检法部门），为的就是把你忽悠得团团转。

再比如针对有过校园贷记录的同学，会打电话告诉你需要注销校园贷的账号，否则信用会出问题，接下来再忽悠你转钱。

我室友在大三时也碰到一次电信诈骗，骗子伪装成工商银行的号码给他发了一条短信，他点击那条的链接之后（界面和工商银行几乎一模一样）输入账号密码，后来没多久钱就被转走了。（好悲惨，全部的生活费……）

所以校方一定得多采取措施引起学生高度重视啊！

知乎用户忘忧草发表

没人说后续吗？被反攻了啊。。。

知乎用户夜家子鸢发表

“抢月饼悖论”：如果仔细核对好所有邮件信息之后，你还能抢到月饼吗？

知乎用户间歇性失智症发表

发免费送月饼钓鱼邮件的单位是多么的正常

我曾经历过单位 IT 发钓鱼邮件，声称要给我们开一个我们一直需要，但单位一直以预算不足，不给开的数据库权限

邮件说想要开通该数据库，请点击链接报名

然后就点进去了

然后就是提示你被钓鱼了

被 IT 部门警告你是易被电信诈骗人群

这个方法下中招的全都是最兢兢业业干活的一批人

然后遭到了一群不干活人的群嘲

因为不干活的那帮人压根就不关心数据库的问题

真是骗子都干不出这么缺德的事

于是，从此之后，单位干活的人又少了一群

大家集体向混日子的方向又前进了一大步

所以相比而言免费送月饼主题真的是很正常的演练了

知乎用户独孤大妈发表

上点干货。

1. 如何确定对方单位及联系人身份是否属实

先查该单位是否存在，后查是否有违法犯罪记录和相关风险，最后查联系你的人是否在该单位就职。

一是党政机关和事业单位，可以去中央编办和省市编办查询

网址：http://www.scopsr.gov.cn/

二是企业，可以去国家企业信用公示系统查询

如果想查一些详细信息，也可以使用天眼查企查查一类的软件。但平心而论，它们相对没有国家的平台权威准确。毕竟，他们也要吃饭。

三是社会组织（行业协会 / 基金会 / 民办非企业单位）去民政部平台查询

2. 如何确定网站真实性

一是学会查看对方的服务器所在地

国内合法的网站服务器 IP 在国内，是经过国家和地方工信部审批通过的，我们可以到网站服务器 IP 查询网站中去查询其真实性。

如果对方服务器在境外，那就需要多加注意了。

二是学会查看对方网站有没有备案

当打开一个网站时，点击地址栏的左侧网站标签，留意这个网站有没有 ssl 安全证书。

域名信息备案管理系统：https://beian.miit.gov.cn/

三是确定联系方式及地址是否有问题

以 “00” 开头电话多为境外 IP 电话或非法网络电话，一般都是虚拟号码，所显示地址也不一定真实。

收到以 “+” 号、“00”开头的来电或短信，务必要提高警惕。

400 开头的电话也要注意，一般只有大型企事业单位才会用，而这种电话只能作为被叫使用，不能主呼。

另外，正规单位一般都有座机，可以在网上查一下归属地等信息。

3. 如何做好个人信息保护

不要在未知的网页或者 APP 上填个人的信息、银行卡号、验证码等。

4. 转账汇款多核实

凡是陌生来电、短信、未知网站、非官方 App 涉及到钱财的，一律多留心、提高警惕。

———————————————————

如果能做到以上几点，对付一般的网络诈骗是绰绰有余了。

至于中科大这波操作，初衷是好的，但很容易给师生造成 “空欢喜” 一场的心理落差。

如果对那些能够及时发现问题的同学老师进行适当的月饼奖励，可能会起到更好的效果。

知乎用户戎生发表

很多同学肯定觉得校园邮箱不会收到诈骗邮件之类的，我之前也是这么认为，直到我上周真的收到了诈骗邮件

标题是账号异地登录提醒

点进来就看到了异常登陆提醒，一看登陆时间还是半夜，IP 地址还不在常住地，我第一反应就是肯定是被盗了

当时也没注意发件地址是 http://seu-edu.cn 而不是 http://seu.edu.cn

下一秒就真的就傻乎乎的点进去网址，想尽快改密码

还好这个网址当时是打不开的，我转而去了浏览器，从东大信息化官网进去改了密码，也就没泄露密码

所以说这类反诈演练确实是很有必要，经历一次 “诈骗邮件”，大部分人下一次遇到类似的邮件一定会更仔细的甄别

希望这类 “反诈演练” 也能在其他高校中积极推行

中招比例还真不低

有一说一，论整活害得是校方，知道学生都想着月饼

——————————更新——————————

经评论区校友提醒，我收到的 “诈骗邮件” 竟然也是官方的钓鱼邮件哈哈哈

知乎用户钱同学好困发表

据说上当受骗的都是大一新生。

因为老生他们大多数深知学校的抠门劲儿，

压根不可能有这么大方。。。

知乎用户如水发表

这个事我是真的支持。

人只有先被骗，才能最快速理解懂被骗的流程和逻辑。

大多数高校在反诈这件事上，可以说是失去了一所名校应该有的水准。

反诈骗，就应该兵不厌诈，事故率那么低的消防问题人均经历演练，对待诈骗自然也该如此。

比如…… 昨天刚发想法，今天就不点名吐槽了。

据我目前了解，今天的大学生是各种电信骗局的重灾区。

有大把时间成天泡在手机里，又有较强的社交闲心，并且限于我国初高中的教育体制，大家在上大学之前，是没有任何社会经验可言。

除了个体很有钱的概率偏低，上述每一点都戳在骗子的爽点上，骗子也不是次次都能捞到大鱼的，发大财的路上谁会拒绝发小财呢？

绝大多数高校，在反诈这件事上做出的最大努力，就是让所有人去下某大肆宣传的 APP。

我不是说这 APP 不好，只是出于各种因素，它的作用明显被神化了。

或者说，你把 APP 当帮助大学生反诈的主力军，明显是为了完成 KPI 而忽略了事情的本质。

终端的技术再高明，也只能起辅助的作用，而永远解决不了人心的问题。

就像外挂制作和游戏反外挂，就像黑客入侵和网安反入侵，不管你在技术上有多高明的设计，骗子也一定会想办法破解。

这是魔与道自古以来就没停过的战争。

人之所以会被骗，是因为容易信任。

一个人如果足够有反诈的意识，就不会信任任何东西，自然包括某 app；

如果对某 app 无限信任，那某 app 就必须得有能力承担全部的责任。

然而目前的某 app 是没有这个能力的，所以会出现一种情况，就是你下了某 app 后，反而降低了自己的警惕心。

骗子不可能因为你一个大学生有了 app，就不再骗你。

唯一的万全法，就是让普通人，都被骗一次，然后重新建立起自己对信任的认知。

所有培养人盲目服从能力的行为，某种意义上都是在为骗子铺路。

谁让骗子想成功，就得靠被骗者的盲目与服从。

最后，给大家分享一个逻辑，其实个人想防范电信诈骗也很简单：认清现实就好。

别把自己当天选之子，真的，就算你真的能当天选之子，也不是靠运气，而是靠能耐。

时刻记住，你只是一个普通人。

而在这个世界上，

有好事，是不会落在普通人身上的。

而一旦真落在普通人身上，

那基本上哈，准没好事。

我想寻尘客，

祝你不吃土。

知乎用户寻尘客发表

我觉得不要以为上当离自己很远，如果有种廉价的反诈演练，那还是真不错的，最后来一句，你上当了，效果拔群。

我上一家公司，就明确和员工说了会给我们不定期发钓鱼邮件。前几次还是不少人上钩了，后面训练有素后，应该会好一点。

上钩的惩罚是扣公司的内部货币。(额。。。这货币目的是用来提高效率和工作积极性的，另外和奖金挂钩而已)

知乎用户大风风风发表

要是我们学校以前也有这样的反诈演练，我当年可能就不会买那 1000 多块钱的军用望远镜了。

不过之后我就没上过当了，也算吃一堑长一智了

知乎用户桃矢王唯发表

只要我够懒，就不会被诈：

（仅针对利诱型诈骗。利诱小就不足以让我这种懒人动弹，利诱大就太假。）

上海交通大学财务处拖欠本人 2826 元报销款已长达 3 年 5 个月零 1 天，这才是大学诈骗之典范，希望妮可不要效法。

知乎用户车右花盾发表

挺好的『反诈演练』

而且很实用，对于学生而言或者教师而言都上了生动的一课。

其实钓鱼邮件是一种很古老的黑客技术，而且毫无艺术含量，因为古老嘛。

毕竟古老的杀手就一把刀，一只筷子就可以伤人于无形，所以不需要那么多工具。

钓鱼邮件如何做呢？

反诈的同时我给大家讲讲如何钓鱼邮件的原理和到底有多简单。

因为我自己也是网络安全工程师、安全讲师，给很多事业单位上过不少关于网络安全的课程。

钓鱼邮件有多简单？

准备的东西很少：

一个开源的邮件服务器程序
这玩意有的就只有几百 KB 大小
获得大量的目标邮件地址
比如 QQ 邮件是最简单的
不管你开没开
一律从马化腾后面的 6 位号码开始
直到 12 位结束
批量群发
服务端不需要多强
一样可以达到千次并发
发三五万邮件也就不到一个小时
精心伪造一个钓鱼页面
如果能注册一个类似的域名更好
比如我之前就注册了一个类似瑞星官网的域名
用于安全测试效果极好
钓鱼的页面主要获得有价值的信息
比如你的身份证号码
手机号码
家庭住址
父母是谁，手机是多少
至于你的学号根本不重要
属于混合欺骗的信息
到了对方数据库都是直接过滤的

原理

如果你自己有邮件服务器，这玩意在自己手里，就可以强制使用未经授权的域名进行欺骗

比如中科大的域名

ustc.edu.cn

我就可以伪造自己是

xiaowuzhongxin@ustc.edu.cn

然后给你群发目标邮件

在邮件中插入链接
告知你这是参加活动的页面
需要提交信息用于确认

插入的链接也可以做手脚，因为超文本链接可以实现你看到的实际不是你看到的

https://www.zhihu.com

比如上面的链接，你以为是知乎的域名吗？不是的，应该是腾讯的。

而且点开以后大多数人根本不看地址栏，即便看了，相信大部分人根本不知道本来的域名是什么。

像大路哥这种互联网老人访问网站除了不常用的都是地址栏直接输入域名。

当然常用的都在快速访问列表里面。

如果细心你会发现

虽然可以伪造发件人地址，但是伪造不了的是官方邮件服务器地址。

这个伪造不了，所以你使用比较大、安全做得比较好的邮件客户端，或者代收接收端。

是可以识别常见的机构邮箱的，比如 QQ 邮箱。

比如上面的邮件头，可以看到发件人是谁，还可以识别它是由谁来代发。

其次邮件服务器作为接收一方也可以识别，因为域名绑定都是单一的 IP，或地址段，这个都可以通过域名服务器进行查询和验证，有保障的邮件服务器就可以帮你自动做这个事情。

由此来判别这个邮件是不是合法的渠道发送出来的。

所有有时候 Web 形式的 Mail 反而比邮件客户端更好。

另外接收邮件不管是网页中还是客户端都可以查看邮件原文：

绿色部分是邮件发送服务器的信息，可以看到里面还有加密的信息，而亮蓝色是邮件内容，因为邮件是漂亮的网页做的，但是这里可以看到源代码，类似于上面知乎跳 QQ 就可以直观的看出来。

有类似的操作不是钓鱼都是钓鱼。

希望大家惊讶之余，扩展了解下。

知乎用户林大路发表

在学校 “上当”，总比到社会上当的好。

学校里上当，你最多就是没有领到月饼而已。可能会有短暂的失落，等得知真相以后，你可能才会了解学校的良苦用心。

当然你可以不买账，你可能会自以为是的说自己不会被诈骗，或者说诈骗你的人还没有生出来。但我告诉你的是，只要你点击了链接，填写了个人信息提交。那你就已经上当了，也就已经被诈骗了。

对，这个时候你可以指责校方，你也可以骂骂咧咧的。

如果说你毕业了，离开校园以后才收到这一类的邮件和短信。你要真的是填写了个人信息提交上去，那就不是短暂失落那么简单。你的存款和你的贷款，都有可能是因为一封邮件，而被诈骗分子洗劫一空。

我说了别不信，就连腾讯这样的大厂都会被骗。就连搜狐的员工，也是因为一封邮件被诈骗的。玩鹰的，都被鹰啄了眼睛。何况你是一个学生。

所以说，反诈演练十分有必要，也应该多来几次。从校方的通报来看，发了 4 万封 “免费送月饼” 的邮件，有近万人进行浏览，还有很多同学填写了自己的真实个人信息。

不得不说，大学生的反诈意识还是很差的。如果说这是一封诈骗邮件，那上当受骗的同学不在少数，可能连老师和其他教职工都难以幸免。

如果把 “免费送月饼” 的邮件，改成“网络兼职赚钱”，那有很多学生朋友会被兼职刷单诈骗，不仅仅把自己的生活费搭进去，就连未来的钱（贷款）也要被骗的精光。

很庆幸的是这一次 “免费送月饼”，只是学校的演练，而并非是诈骗。

不过这一次演练，我觉得并不科学。如果把电子邮件换成即时信息，比如手机短信群发，或者微信群发等方式来演练。点击浏览的人更多，填写个人信息的人也会更多。

如此一来，就能够拿到更接近真实的反诈数据，对于接下来的反诈宣传和预防，会更加的有利，也会更加的精准。

“免费送月饼” 的噱头，还是很吸引人的，毕竟正值中秋节来临之际。可以说校方的这个噱头，抓住了时势环境，也迎合了当下的节日，更抓住了人性想要 “免费、白嫖” 等弱点，以至于有学生朋友真的“上当了”。

这个反在演练的邮件，可以说是很符合诈骗广告的特质，所以才会有很多人上当。不过最值得欣慰的事，有些学生攻击了这个 “钓鱼网站”。

能够对诈骗分子进行还击，我觉得这是一件非常值得点赞的事。

那现实中，我们如何预防电信网络诈骗呢？

第一、不贪便宜、不白嫖。

特别是网络上那些中奖类的诈骗信息，还有免费送不花钱的，还有薅羊毛等一类的，都有可能潜在着危机，隐藏着诈骗的套路。

比如裸聊诈骗，就是想利用你白嫖的心理，对你进行诈骗的。

有句话叫做天下没有免费的午餐，贪小便宜吃大亏。

第二、赚钱没有捷径。

网络上打着 “低风险、高利润、高回报”，不管是工作，还是赚钱的方式和项目。那都有可能潜在着危险，隐藏着猫腻。

比如推荐股票诈骗，还有兼职刷单诈骗。还有短视频配音诈骗等等，只要你想在网络上赚钱，想赚快钱就有可能会上当。

永远要记住一个问题，别人有好的赚钱路子和项目，怎么可能会告诉你一个陌生人。假如说你有好的赚钱路子和项目，你也不会告诉我，就是这么简单的一个道理。

第三、不要和陌生人说话。

让你不要接触陌生人，不要和他们说话，这有点不切实际。但在说话和交流当中，你要学会甄别，要有独立思考的能力，遇到事情三思而后行，而不是盲目的做决定。

比如说人很难去赚认知以外的钱，不要光听别人怎么说，要学会分析，辨别真假。辨别得了，你就有可能识破骗局不会损失，辨别不了，你有可能会上当受骗，遭受巨大的损失。

所以说，你只要记住一点，不要向网络上陌生人提供的陌生账户，进行大金额的转账。在转账的时候，一定要问问自己，到底是为什么这个钱转出去了以后，还能不能再回来？

如果有一丝犹豫，这个钱就不要转了。即使要转的话，也要核实好对方的身份，可以给对方打一个视频电话，看看对方到底是谁，再决定要不要转账给钱。这样的话，能够避免不必要的经济损失，防止上当受骗。

关于防范网络电信诈骗，我只告诉你这么多。如果说你还有不懂的，你可以到我的主页去看一看。

或者说你实在很懒，不想去看。想听我怎么给你说的话，那你也可以找一个简单又快捷的方式。

罗罗

1660 次咨询

5.0

法律优秀回答者

300695 次赞同

去咨询

到时候，我会把我知道的都告诉你，让你提高警惕，防止上当受骗，避免遭受经济损失。也能够识破骗局，揭露骗局。让你的认知和认识，提高一个层次。

不要心存侥幸，因为腾讯和搜狐的互联网大厂都上当受骗了。更何况我们普通人呢！

知乎用户罗罗发表

中科大这种行为极为值得提倡！

大学生绝对是电信诈骗的重点受害人群，很多大学老师班主任在各种课程上都在不厌其烦提醒学生谨防上当受骗。但是很多事情用嘴说没用，必须得真经历一次才知道滋味。

就像棍子只有打在自己身上才知道什么叫疼。

中科大用这种让每个人都上当一次的方法让学生感受到什么叫疼了，自然就能记住了。

建议这种行为在全中国大学推广。

如果在大学推广顺利，效果良好。建议推广到社会上一个更容易被电信诈骗的群体，就是老年人群体。很多老年人被诈骗，子女苦口婆心怎么劝都不听，逼得银行都把仿电信诈骗汇款变成了一个主要业务。

如果国家可以分期分批对城市老年人来这么一次，让老年人尝到被骗的滋味是什么。就可以有效防范电信诈骗！

知乎用户悟空孙发表

临近中秋节，多所高校推出中秋月饼。然而，近日有中国科学技术大学学生在社交媒体发帖称，收到了 “中秋免费月饼领取” 的邮件，但填写资料后却没有领到月饼……

据上游新闻消息，9 月 8 日上午，中科大网络信息中心程老师表示，这其实是一次官方 “整活”，是 “全校首次钓鱼邮件演练。”

大一新生 “中招” 最多，有学生反攻钓鱼服务器

程老师透露：“9 月 7 日下午 5 点半，我们利用大家刚放学思想比较松懈的机会，在一个小时发送了 4 万多封邮件**，这些邮件全部针对中科大校内的师生，其中学生有 3 万多人，教职工有 6000 多人。结果中招的人并不少，晚上 6 点半 - 7 点半的时候，钓鱼网站的访问人数高达 8000 人次，**大大超过了我们的预期。”

程老师还表示：“这次演练当中，有不少同学填写了真实资料，**其中人数最多的是本科一年级的新生。**他们相关网络安全知识比较欠缺，下一步我们会着重对他们进行网络安全培训。”

在众多师生当中，有人不幸 “中招”，也有人保持清醒，还有同学的应对措施让程老师直呼内行：

“我们在后台看到，部分学生提交了虚假信息，说明他们有了防范意识；**还有学生对我们的钓鱼网站进行了 DDOS 攻击，**他们还在 QQ 群分享说免费的靶场来了，不打白不打，**当时一度把钓鱼网站整瘫痪了。不过在这次演练之前，我们向清华大学取经时，他们就提示了肯定会有学生攻击，**因此我们也做了防范措施，所以最后并未造成服务器的损失。”

为了避免钓鱼邮件演练变成 “狼来了”，让学校的师生对官方发布的邮件失去信任，程老师表示他们对方案进行了调整，留下了很多 “马脚”，譬如邮箱缩写、联系电话等。

“如果足够细心，是可以看出很多‘马脚’的。”

多所高校提醒师生防范钓鱼邮件

据中国青年报报道，近日，多所高校提醒学生甄别钓鱼，积极防范！

就在 9 月 6 日，中国科学技术大学公布一组数字：2022 年 1 月 - 8 月，该校邮件服务器有 921 个账号被黑客窃取密码发送垃圾邮件，平均每天近 4 个账号被窃取密码。

学校同时表示，“我们发现近一个月以来，不法分子开始针对我校的人员特点，编写针对性的钓鱼邮件，手段也越发隐蔽。”

2021 年，清华大学和北京大学陆续进行了钓鱼邮件演练。

其中北京大学称：演练当天，共有 4 万余名师生收到这封模拟 “钓鱼邮件”，54% 的师生阅读了邮件，**其中约 5000 名师生点击了可疑链接，约 2000 名师生在后续登录页面输入了用户名和密码。**据初步统计，90% 的师生阅读邮件后没有输入用户名密码，表现出北大师生普遍较好的安全防范意识，同时，教师的安全意识率略高于学生。

来源：综合网络

知乎用户经济观察报发表

一看就知道是钓鱼，学校哪有那么大方，还免费。

知乎用户小鸟不死发表

每年中秋节，中国科技大学制作的特色月饼都会成为 “抢手货”。

而这款号称 “吃了不挂科” 的月饼，当年更是火遍全网：

这些，你以为是课本吗？

翻开它们，里面竟是……

《量子力学导论》

《天体物理概论》

《无机化学》

以上图片截取自沸点视频

这其实是中国科学技术大学

2020 年新出的月饼！

每套月饼（6 个）的包装盒

是标有 “中国科学技术大学精品教材” 的

教科书封面

每个月饼的单独包装上

还印有 “FOR YOU” 字样

学校官博还说：

“祝大家吃了之后

再！也！不！挂！科！

今年中秋节前夕，有中科大学生在小红书发帖称收到了 “中秋免费月饼领取” 的邮件，点开填写资料后月饼没领到，却发现是钓鱼邮件。

这个钓鱼邮件是怎么回事？9 月 8 日上午，上游新闻（报料邮箱 baoliaosy@163.com）记者采访了中科大网络信息中心的程老师，他表示这是一次官方 “整活”：“最近国家网络安全宣传周在合肥举行，我们学校希望借此机会用一种新的方式推广网络安全知识，提高反诈意识，于是选择进行了全校首次钓鱼邮件演练。”

中科大师生收到的钓鱼邮件

1、 大一新生 “中招” 最多

都说 “官方整活最为致命”，一名 9 月 7 日收到了钓鱼邮件的中科大学生告诉记者：“这个邮件一看就是非常了解学校业务，知道中秋节期间一饼难求，所以选择了免费送月饼这个点，果然不少同学中招。”

据程老师透露：“昨天下午（9 月 7 日）下午 5 点半，我们利用大家刚放学思想比较松懈的机会，在一个小时发送了 4 万多封邮件，这些邮件全部针对中科大校内的师生，其中学生有 3 万多人，教职工有 6000 多人。结果中招的人并不少，晚上 6 点半 - 7 点半的时候，钓鱼网站的访问人数高达 8000 人次，大大超过了我们的预期。”

中科大学生小杨（化名）因为没有甄别邮件是否存在钓鱼风险，认真填写了相关资料，结果不幸 “中招”，访问了钓鱼页面：“你中‘奖’了，这是由学校开展的钓鱼邮件演练，我们非常不幸地通知您：由于您在本次演练中未能第一时间识别出钓鱼邮件，因此来到了这个页面……” 事后他也把这段经历发到了小红书上。

类似小杨经历的学生并不少，程老师告诉记者：“这次演练当中，有不少同学填写了真实资料，其中人数最多的是本科一年级的新生，他们相关网络安全知识比较欠缺，下一步我们会着重对他们进行网络安全培训。”

“中招” 后的页面

2、 有学生攻击了钓鱼服务器

在众多师生当中，有人不幸 “中招”，也有人保持了清醒，部分清醒学生的应对措施让程老师都直呼内行：“我们在后台看到，部分学生提交了虚假信息，说明他们有了防范意识；还有学生对我们的钓鱼网站进行了 DDOS 攻击，他们还在 QQ 群分享说免费的靶场来了，不打白不打，当时一度把钓鱼网站整瘫痪了。不过在这次演练之前，我们向清华大学取经时，他们就提示了肯定会有学生会攻击，因此我们也做了防范措施，所以最后并未造成服务器的损失。”

为了避免钓鱼邮件演练变成 “狼来了”，让学校的师生对官方发布的邮件失去信任，程老师表示他们对方案进行了调整，留下了很多 “马脚”：“其实我们最初是考虑用提示电脑发现挖矿行为的通知邮件，可这么做可能未来遇到有电脑被劫持挖矿，使用的师生还不信提示了，所以改成了更宽泛的 “送月饼”。其实如果足够细心，是可以看出很多‘马脚’的，首先中科大的邮箱缩写是 USTC，我们的邮箱缩写是 VSTC；中科大邮件管理中心是个虚构部门；最后邮件联系电话 0551-36309527 也是假的，中科大的电话都是 6360 开头的。”

由于本次的钓鱼邮件演练效果很棒，程老师表示下一步的演练计划也在筹划当中：“这次主要针对的是全体师生，后面我们会不定期针对不同人群进行钓鱼邮件演练，提高全校的网络安全防范意识。”

知乎用户测试狗科研服务发表

笑死我，我有个博士姐妹中招了哈哈哈哈，我们在群里嘲笑了她一上午，ustc 和 vstc 还是很好认的。

说正事，我前司也做过类似的演练，因为真的有人会钓鱼，我前司就有那种发补贴被钓的人，我朋友在的公司也会，以哔哩哔哩为例，据说他们会定期发送后缀为 blilbili, biliblil, biilbili 这种后缀的邮件，而且都会有人上当，然后邮件通报。这种邮件真的很有必要，这就是教育提高警惕性的手段，基本上需要个人信息的东西都要斟酌一下，有人说学校的问卷调查都不填了，一般也都是遵从个人意愿学校也不会强迫，比如教务处的课程评价我就填过一次因为我嫌麻烦，一般学校的问卷调查也不会要你密码，如果真因为 “狼来了” 这个而不去填，一个是真摆烂，一个是并没有学到防范钓鱼诈骗邮件的应对方式——看发送来源，看链接地址，如果不幸点进去了切记不要提供个人信息。

最后偏个题，一堆人说科大抠门的真的是科大学生吗？科大元宵送汤圆，端午送粽子，春节有免费年夜饭，中秋当年我们班也送过月饼啊。更不用说学校各种羽毛球馆，游泳馆免费开放，各种交流项目免费参加，这真的叫，抠门？

知乎用户言冀发表

哥们都没想到，有一天小破科上知乎热榜第一居然是因为这个事儿，而不是啥负面舆情

大为震惊

知乎用户小凶许发表

学生们练习这种钓鱼和防范早都玩腻了。

知乎用户十八子发表

当代大学生最容易上当的应该是裸聊录像诈骗。

没事别裸聊，就算被录像了，诈骗份子大概率也不会发视频给你家人，就算发了，就一个裸聊，怕啥你生的时候你父母看得还少?

知乎用户下辈子再洗澡发表

中科大发 4 万封钓鱼邮件，“免费送月饼”，学生中招，这学校可太会了。生活中的诈骗陷阱越来越多，不过最近中国科学技术大学官方开始整活了。中秋节临近，学校给全校师生发了一封假邮件，点击邮件里的链接可以领月饼，没想到中招的学生还真不少！

学校举办这个活动是因为最近国家网络安全宣传周在合肥举行，学校想借这个活动提醒学生增强反诈意识，不能轻信网络上的活动，导致可能带来的损失。

学生点击链接，填了资料之后，出现了一份提示文件，告诉学生 “你中‘奖’” 了。在这次活动中，中招最多的要数大一的新生，看来这些小萌新还是比较单纯的。同时因为是学校发的邮件，也放松了警惕。

不过还有一批学生的反应出乎意料，发现是钓鱼邮件之后，他们开始了反制，对学校的钓鱼软件展开了攻击。还好学校在做这个活动之前，请教了清华大学，清华大学是肯定会有学生会攻击网站，因此学校提前做了准备，才避免了服务器受损。

大家平时也一定要做好防范，避免落入诈骗的圈套。

知乎用户张梓朕发表

最近各个地区都在组织网络安全升级，一方面是应对日益复杂的国际局势，另一方面也是信息化发展趋缓，增量竞争转变为存量竞争，信息安全事件频发。

就我本人也被攻防演练折磨了整整一个礼拜了，好在是扛过来了，而且在团队没有外援的情况下扛过来的。

这种邮件诈骗也是攻防演练中特别常用的手段，不过这个邮件伪装的确实有点水平，邮箱域名和发送单位其实很好伪装的，毕竟员工那么多，很容易就能找到弱密码的内部邮箱，然后修改一下发送显示名称。

技术方面其实挺好辨认的，有点钓鱼邮件的基本常识就可以识别出来，骗人的不是技术而是社会工程，“中秋节学校发月饼”，这个事太像真的了。而且一个宿舍知道了，一传十十传百，学生之间传这种事情特别快，人云亦云迷迷糊糊就从众信了。

只能说骗人最厉害的还得是自己人骗自己人，防不胜防。

知乎用户叹息的狒狒发表

可以学学对面合工大，每年给学生发月饼

知乎用户匿名用户发表

正方辩手：中科大发 4 万封「免费送月饼」钓鱼邮件，有效提升学校师生应对诈骗危险。

反方辩手：中科大发 4 万封「免费送月饼」钓鱼邮件，不管你怎么吹，你就属于恶意消费学生，光吹牛，不见月饼。

论题：人与人之间已经没有任何基本的信任，一切都是诈骗与反诈之间的宫斗。

知乎用户知幾发表

很多大公司也会做类似的钓鱼演戏。除了每年都有的安全培训外，微软有时候也会发这种钓鱼邮件这员工。如果你点开来了，那很快就会有安全部门找上你要求你做完成一些安全培训了。

知乎用户 Yanchen Shi 发表

使用浏览器保存密码自动填充，这样域名不对就会发现不能自动填充密码。

知乎用户 233 发表

收到的时候感觉很奇怪，怎么会用抽的。但并没有怀疑是钓鱼邮件。

没点进去的原因主要是不在本部。

这封邮件之前的一个月恰好连收了十几封钓鱼邮件，混在其中真的很像是真的，因为其他钓鱼邮件都是这种画风。

一眼假。

甚至还冒出来这种有点 meta 要素的钓鱼邮件。

相比起来月饼那封真的挺像真的，当然如果在本部准备领肯定要看一眼域名，还是可能发现端倪的。

而且 “统一身份验证” 所有网页都是自动填充如果不能填充肯定是假的，但如果哪家可以伪造出浏览器能识别的登录界面，那自动填充反而自动泄露了。（理论上好像不可能，用了官方的接口那就是官方登录，登上去后台也看不到密码）

知乎用户田耕发表

是时候警醒一下了。

怕是很多人都以为自己不会中招电信诈骗，以为电诈对象都是老人。

结果呢~~~ 哈哈哈哈哈哈哈

学生中招，教职工也中招~~~

看来是防范意识真的普遍不太行。

这个数据挺夸张的……

上图 4 个数据，应该这么去看

（1） 9137÷50896＝17.95% 的人阅读了邮件。这个数据没太大意义，没看的原因有很多，并不意味着那 4 万多人不会被骗。

（2） 3924÷9137＝42.95% 的人阅读邮件后点击进入可疑链接。考虑到部分链接进入后就具有风险，而不是在链接内操作才有风险，比如病毒等方式在点击后就可能生效了。所以实际上这个数据意味着，面对中科大的师生这样相对高素质的人才，网络电诈信息送达后，仍有近半概率让你中招。那么对于文化素质更低一筹的其他人，中招可能性那是很夸张的。

（3） 1670÷9137＝18.28% 的人阅读邮件后确实透露了本次诈骗中希望获得的账户信息。这意味着类似的诈骗就算没有什么点链接进去就中招的情况，哪怕只是让你自己透露，也能做到 10 人中招两人。假如说这两人在中招后，各自在自己的小圈子里宣传，有个发酵时间，而没中招的人又认为这种东西没人会受骗，那最终中招的人可能远大于这个比例。

其实安全意识不是用一个个的骗术识别法堆砌的，而是靠着发自内心的谨慎造就的。

各方的小伙伴们最好从这次官方整活中吸取点教训，至少你们要知道有些低劣的电诈团伙已经从这里面学到更多的方式方法了。

不要守着几个防诈小知识就以为万事大吉，还是要自身硬起来。

天上掉馅饼的事情不是没有，但这些馅饼 99% 有毒，剩下那 1% 是厨师自己抛着自己接的。

看到反常的事情第一反应就该是质疑，特别是你想要去沾染的时候，第一反应一定是认真研究。只有千日做贼，哪有千日防贼。贼的办法总比你的经验更新鲜，靠着那几个祖传小妙招是守不住江山的。

越是利益攸关，越不能放松警惕。学校咋地？学校就不能有坏人想要偷我信息？该质疑就要质疑，该自保就要自保。

我只是有点好奇，这么有梗的电话号码，打过去会是什么情况。

知乎用户沉默亦然是金发表

需要指出，校方后续还群发了个说明情况的邮件。其中提到，

此次演练共向全校师生发送模拟钓鱼邮件 45000 余封（其中学生 38000 余封，教工 6000 余封），截止 2022 年 9 月 8 日上午，共有 3500 余人在伪造的统一身份认证界面提交了信息 (其中学生 3100 余人，教工 400 余人)。

钓鱼邮件属于网络安全中社会工程学攻击的一种手段。再强大的加密手段，也拦不住自己人的泄密。对电话诈骗，警方宣传较多，大家防范意识也比较强；对钓鱼邮件，师生还不是很熟悉。这次约有 1/10 的老师同学上当，就说明了其危险性。

其实在这之前，就有谎称 “邮箱密码到期，需要更新密码” 的真 · 钓鱼邮件，我估计难免有些老师同学中招。

再加上之前有西工大被攻击，科大整这个活也就显得很必要。

知乎用户路见凹 8023 发表

中国科大网络信息中心拥有极高网络安全意识与超强的网络安全防护能力，举行这类反诈演练属于常规动作吧。该中心能够拥有极高的网络安全意识与非常强的网络安全防护能力主要与以下几点有关：
1. 该中心得益于中国科大是科学院建立，且长期在中国科学院管辖之下，与科学院的网络安全研究部门关系密切。该中心的研究生、博士生会前往中科院中国科大研究生院学习、研究；这个中心的学生、老师视野比较开阔；
2. 该中心云集了中国网络安全的顶尖高手。该中心依托以前的计算机系建立，以前与计算机系广西密切，现在与计算机学院关系密切，该中心的教授、副教授、博士讲师会承担计算机系及其他院系网络方面课程的教学；计算机学院对网络及网络安全有兴趣的学生，以及专业本来就是网络安全方面的硕士、博士，会在该中心实习，甚至就是该中心教授的弟子。这种安排，让该中心聚集了一批老、中、青、少的网络安全牛人；
3. 该中心作为最早参与中国教育网建设，承担中国教育网 38 个主干节点之一合肥节点运行与管理工作的单位，除了承担校园网的安全运行外，还承担了区域教育网的安全运行。几十年历练下来，该中心的网络安全意识非一般学校网络中心可比。毕竟一个学校的网络出点故障，经过运作，可能影响不大，但是一片区域网络出故障了，影响就大了，上面对口的是教育部门。

综上，我人为该中心举办这样的反诈骗演练属于正常行为，也是非常有必要的行为。

知乎用户职场思维导图发表

学校邮箱通常服务器过滤能力差，导致里面的垃圾邮件超级多.

随便举个我的邮箱的例子。

里面这些链接，是配合下面的这些诈骗邮件使用的。

当然，我从来没用电脑做过这些事，所以清楚地知道这些邮件是诈骗邮件，这种是很好防的。

但是，有两次让我感觉非常恐怖。

第一次，是一个冒充学校某些部门的邮件，整体叙述风格是非常正式的，并且附件也合规，只是点进链接以后办理相关事项而已，但点进去的一瞬间，感觉电脑卡了一小下，之后所有的文档都打不开了，紧接着就收到了勒索邮件。在点链接的一瞬间我就感觉不太对了，然后赶紧断无线，但不清楚病毒是什么样的工作方式在一秒钟内就封锁了电脑里全部的 word pdf 文档，最可恶的是可以把同步网盘的数据同步修改，我废了好大力气才把文件从一个断网备份的电脑文档里恢复回来，但依然丢了几个最新的文件。那次的邮件以及打不开的文件我都给删的彻彻底底，所以这次就不能提供照片了。

第二次，是我还登着邮箱呢，就见到我的发件箱里正在发邮件！让我瞬间怀疑人生，难道我是在梦游？

懵逼了半天，然后反应过来赶紧改密码，改完密码以后终于停发邮件了，昨晚到今天的时间发出去几百封，不过感觉只是用我的邮箱，没有植入病毒，所以就删了大多数邮件只留下几个作证据。我不知道这种骗子的诈骗原理是什么，但如果用我的邮箱给我的通讯录里发邮件，大概率会有不少人上当。我自认除了在办公室电脑以及手机客户端登陆过邮箱外，没在任何地方登陆过，实在不清楚什么时候泄露的邮箱密码。

科大这个诈骗邮件，那真是标杆级骗子，光是一个域名就能让一票人上当。还有就是，利益不能太大，之前用谷歌邮箱经常收到哪国王位继承人几十亿美金的报酬，已经不好使了，这种免费月饼反而更有吸引力。

但我也在思考一个问题，中科大这次是受了教育了，但骗子也受了教育了啊，原来学校诈骗应该这么搞啊，然后这封邮件到了骗子手里再加工一下，转发给了隔壁合科大，别的学校就鸡犬不宁了。

知乎用户王大锤发表

万年不用科大邮箱的我… 还是从朋友圈和知乎上才知道这事的

知乎用户 Codiola 发表

这个操作可以有啊！

电信诈骗防不胜防，但记住一点：天上不丢月饼！

月饼和美女帅哥，杀猪盘，有一前提，就是利用人的弱点，为情所困，贪心啊。

说句难听的话，有高富帅，有海归成功人士，有老板要在网上撩妹撩汉的吗？

再有一点，拿公检法等国家机关权威吓唬人，老百姓不懂法，也不了解公局办案流程。

中科大发 4 万封「免费送月饼」钓鱼邮件，校方回应系「反诈演练」壮举！

值得肯定！

网络电信诈骗，还有不良之人，黑客的网络攻击！是给网络安全带来巨大隐患！

我们每个人，都有防范意识！

相关部门对反诈骗的宣传教育，多从弱势群体角度出发，多做保护性措施！

拦截资金转帐！大数据管理分析，能精准发现诈骗操作！

知乎用户洹水之滨发表

校方这个行为挺好的，只有真正让学生 “上当受骗” 一次，才会吃一堑、长一智。不过据说最后被反攻了。

知乎用户张导发表

它这个邮箱后缀是 vstc，中科大是 ustc 好像

我们公司也会搞反诈突击，点了链接的同事会被叫去参加反诈培训。其实我觉得，这都没到培训反诈技巧那一步，他点链接都不看发件人。。。。主要是加强下意识吧

知乎用户 1.jar 发表

所以这个 vstc .edu .cn 到底是真的还是假的？不过没关系，是真的是假的都有问题。

如果中科大真的注册了一个这样域名，那就是 http://edu.cn 的注册审核机制严重失能。

如果中科大并没有注册这样一个域名，只是伪造了一个这样的不存在的域名，那就是中科大自己的邮件系统严重失能，连最基本的 SPF 记录都不去检查，按说这种情况放在任何主流邮件系统里都是直接进 spam 的，根本没机会让你在收件箱里去辨别。

知乎用户 Yandex 发表

给没中招的师生发月饼，鼓励当着中招师生的面吃月饼，记住这个教训

知乎用户 Fedora 发表

抱歉，骗子并不会留下这么明显的漏洞，是怕学生发现不了吗？

既然能搞到 edu 域名，现在域名也允许非英文字母了，那为什么不用μhttp://stc.edu.cn，再或者 http://ustcjwc.edu.cn。

电话为啥不写

，是不会去官方找个真实电话吗？

发件人为什么不写个真实存在的部门，骗子真的傻吗？

中科大这么闲着没事干，不如去修复一下 edu 域名注册的漏洞，咋连 edu 域名都给骗子注册了？还有教教我怎么辨别路边的银行是真的还是假的。

知乎用户 ARPK 发表

反诈演练很有必要

知乎用户王永辉发表

公安部备案了没有？没备案也能搞吗？

如果没备案也可以搞的话，那老子回去就组织团队，对政府各级领导搞网络攻击，被发现了就说是演习，没被发现就搞黑料呗。

知乎用户 280285 发表

真的是烂活，今天是 edu，明天是不是敢来个 gov，这已经不属于低级 “诈骗” 了，以后公家反悔是不是就有反诈的理由了？不说别的，真实情况，现在法院要求电子送达，不少当事人以为是诈骗短信，导致法院和当事人的权利均有瑕疵

官方可以做实验，但也请别做的那么真，透支公信力，别说做的真才能起到教育作用，经典案例：ATM 机识别不出的假币，你让人怎么防，防不胜防的东西，你还给人送防骗资料，真就把人当猴耍，制定规则的人总把自己当上帝，俯视被他耍的猴，殊不知在其他领域他也是别人的猴

突然想到一个问题，那几千名师生除了领取教育资料，还给他们月饼不，不给是不是可以联合报案，还有骗取师生信息是否非法，会不会转变成 “以教育之名，行违法之实”，校方实属自爆卡车了，但凡有个法学院，还能帮忙规避规避，学生的实践课题也有了

学艺不精又想到一点，越新越真越高级的诈骗，在公检法办案时方法都是不公开的，本来低级诈骗犯还因为骗不到人发愁呢，得，这直接送上免费的教程，评论区个别自作聪明的，这也一眼假，那也随便做出来的，等到自己父母受骗了，自己年龄大脑力不足反应慢受骗了，到时候我是不是可以开香槟，嘲讽一波，淡淡说一句你什么都不懂，活该

知乎用户匿名用户发表

这种活动一般都在科大人小程序里发布

知乎用户尽我的颜值去努力发表

中国科技大学的这一行为，确实别出心裁，让人不得不印象深刻，想忘记都难以忘记。现在互联网越来越普及，而我们遭受来自互联网上的威胁与攻击风险越来越大，现在地球上还有一个对我们虎视眈眈的老美，他们随时准备或已经在攻击我们的专业网络（窃取机密数据），前几天西北工业大学的网络被攻击事件，就是一个很好的佐证。所以，网络安全防范教育工作有必要进一步深入推进与普及。

现在网络电信诈骗手段层出不穷，花样繁多，一不小心就容易掉入坑里，确实要提高警惕。从本质上来，这些诈骗手段之所以得逞，皆是利用了人们的某些心理，比如：贪婪、恐惧、怯懦等，如果咱们能够始终坚持以下几点（1、不要起贪心，天上不会掉馅饼；2、无论网上还是网下，都不要随意泄露个人的身份资料或出借自己的身份证件、银行卡等；3、发现有异常的事件，要及时报警处理），也许就能大大降低被骗的风险。

孙俊俊律师

127 次咨询

5.0

湖北斯洋律师事务所执业律师

2193 次赞同

去咨询

知乎用户孙俊俊律师发表

太正常不过，日常公司都会发各种钓鱼假冒邮件。

从促销优惠，询价订货到安排工作应有尽有。

误点了，就得去学习网安培训资料。

我觉得这波操作很好。

知乎用户起名真麻烦发表

挺好，是应该增强学生防骗意识。

我们学校一女生被同学骗直接报警，警车都开进来了。巧好又遇上快递停运，我以为出密接了怕又封寝室赶紧屯物资。今天知道不是密接，一下午就把囤的零食都吃完了…

知乎用户童心发表

本来想说这操作真 tm 蠢，没事儿搞什么发月饼钓鱼

后来想到我们学校有被骗五六十万的

好吧我觉得可能是有些必要

知乎用户 blahblah 发表

免费送东西，要填信息的我都不填…… 谁也别想骗我，要不是现在有时候要刷脸认证，我连手机正面摄像头都想粘上贴纸。

有些阴阳怪气的真奇怪了，领不到免费月饼就跳脚，哪天要是被电信诈骗裸聊诈骗骗了就该骂没人保护你财产安全了。

知乎用户已消失发表

跟羊说，羊我给你织了件羊毛衫，然后大笑三声告诉它，我逗你玩呢，不要轻易相信人类哦

知乎用户风来运转发表

为什么我没有短信，草！

知乎用户 Musou Shinsetsu 发表

西工大：你小子思路清奇

知乎用户老九发表

来点后续，以及我觉得这种 " 钓鱼活动应该多来点

知乎用户琉璃金发表

我就想知道如果有大量学生报案表明信息泄露，而学校实际上并没有向有关部门进行报备，4 万封钓鱼邮件。。。应该判几年？

知乎用户 GUTS 发表

据上游新闻消息，9 月 8 日上午，中科大网络信息中心程老师表示，这其实是一次官方 “整活”，是 “全校首次钓鱼邮件演练。”

有学生直接发起 “反击”

兴奋直呼免费的 “靶场” 来了

程老师透露：“9 月 7 日下午 5 点半，我们利用大家刚放学思想比较松懈的机会，在一个小时发送了 4 万多封邮件，这些邮件全部针对中科大校内的师生，其中学生有 3 万多人，教职工有 6000 多人。结果中招的人并不少，晚上 6 点半 - 7 点半的时候，钓鱼网站的访问人数高达 8000 人次，大大超过了我们的预期。”

程老师还表示：“这次演练当中，有不少同学填写了真实资料，其中人数最多的是本科一年级的新生。他们相关网络安全知识比较欠缺，下一步我们会着重对他们进行网络安全培训。”

在众多师生当中，有人不幸 “中招”，也有人保持清醒，还有同学的应对措施让程老师直呼内行：

“我们在后台看到，部分学生提交了虚假信息，说明他们有了防范意识；还有学生对我们的钓鱼网站进行了 DDOS 攻击，他们还在 QQ 群分享说免费的靶场来了，不打白不打，当时一度把钓鱼网站整瘫痪了。不过在这次演练之前，我们向清华大学取经时，他们就提示了肯定会有学生攻击，因此我们也做了防范措施，所以最后并未造成服务器的损失。”

为了避免钓鱼邮件演练变成 “狼来了”，让学校的师生对官方发布的邮件失去信任，程老师表示他们对方案进行了调整，留下了很多 “马脚”，譬如邮箱缩写、联系电话等，“如果足够细心，是可以看出很多‘马脚’的。”

多所高校提醒师生防范钓鱼邮件

中国青年报注意到，近日，多所高校提醒学生甄别钓鱼，积极防范！

就在 9 月 6 日，中国科学技术大学公布一组数字：2022 年 1 月 - 8 月，该校邮件服务器有 921 个账号被黑客窃取密码发送垃圾邮件，平均每天近 4 个账号被窃取密码。

学校同时表示，“我们发现近一个月以来，不法分子开始针对我校的人员特点，编写针对性的钓鱼邮件，手段也越发隐蔽。”

2021 年，清华大学和北京大学陆续进行了钓鱼邮件演练。北京大学称：

演练当天，共有 4 万余名师生收到这封模拟 “钓鱼邮件”，54% 的师生阅读了邮件，其中约 5000 名师生点击了可疑链接，约 2000 名师生在后续登录页面输入了用户名和密码。据初步统计，90% 的师生阅读邮件后没有输入用户名密码，表现出北大师生普遍较好的安全防范意识，同时，教师的安全意识率略高于学生。

提高警惕，

不随意点击邮件链接，

不轻易输入账号、密码。

防范钓鱼邮件！

知乎用户耐思生命发表

想一想，钱从哪里来，知道分是不是够本

知乎用户道听青年发表

连补助都克扣发月饼想啥呢

知乎用户天天天蓝发表

这么巧，今天公司培训亚太信息安全大会，各种辨认钓鱼邮件的方法。哈哈，接受过洗礼的我现在应该是火眼金睛了。

知乎用户陶然居居发表

挺好的, 一开始以为是一帮领导拍脑袋决定利用学生对学校的信任搞 “测试人性” 的花活, 没想到准备得挺周到的, 我觉得有一定的教育作用.

知乎用户 ZjzMisaka 发表

效果看起来很好，有攻有防，没白练。这种活动还是相当有必要的，因为我认识的同学里面已经被骗俩了（一个大一的时候，一个研一的时候），我也成功帮家人识别过诈骗并报警。定期进行这种演练，比到处推销那反诈 APP 强多了。

知乎用户铁道上的蓝鲸发表

很有用，不过原来学校连月饼都不送吗。

知乎用户白羽子发表

这哪是演练，这就是烽火戏诸侯啊！

周幽王带着褒姒，由虢石父陪同登上了骊山烽火台，命令守兵点燃烽火。一时间，狼烟四起，烽火冲天，各地诸侯一见警报，以为犬戎打过来了，果然带领本部兵马急速赶来救驾。到了骊山脚下，连一个犬戎兵的影儿也没有，只听到山上一阵阵奏乐和唱歌的声音，一看是周幽王和褒姒高坐台上饮酒作乐。周幽王派人告诉他们说，辛苦了大家，这儿没什么事，不过是大王和王妃放烟火取乐，诸侯们始知被戏弄，怀怨而回。褒姒见千军万马召之即来，挥之即去，如同儿戏一般，觉得十分好玩，禁不住嫣然一笑。周幽王大喜，立刻赏虢石父千金。周幽王为此数次戏弄诸侯们，诸侯们渐渐地再也不来了。

演习和演练，怎么样的规章制度得需要明确。这种演练不是你随便去搞的。何况是针对 4 万人的集体演习。

以消防演练为例，消防演练必须要提前 48 小时发布通知！

根据 GA654-2006 中 9.5.2.4“消防演练前，应通知场所内的从业人员和顾客或使用人员积极参与；消防演练时，应在建筑入口等显著位置设置 “正在消防演练” 的标志牌，进行公告。 ” 也同时避免造成不明真相的群众恐慌，出现踩踏等人员伤亡事故。

如果你直接来一个以官方发布的信息，而不注明这是在演练，这其实是一件很危险的事。

这意味着，使用邮件通知这条线彻底失去了信任。

以后再也没有人相信学校发的邮件是真实的了。或者是演练，或者是诈骗。乃至不只是邮件，包括短信，电话都会被认为是在诈骗。

积极防诈骗是对的，但是你可以通过开设防诈骗的课堂来进行教育，而不是这种手段。

如果中科大真的有 4 万个邮件被泄露并被发了诈骗短信，简直就是中科大的耻辱啊。因为你邮件只有你自己知道，你自己的安全都没有做好。问题还是你自己的问题，与诈骗有何关系呢。

诈骗可能永远不会发生，但信任这种东西，一旦消耗了，就再也建立不起来了。

知乎用户东岳老师发表

1、建议学校悉数公布 “中奖名单” 的 3100 名学生和 400 余位老师。

2、要统计到具体学院、专业、班级、部门等，然后拥有中奖人的班级或 D 支部 T 支部开展主题班会，

3、让中奖人出席，作为身边的案例做经验分享。

知乎用户开酒别喝车发表

一个狼来了的故事，也会有一个狼来了的结果。

知乎用户格瓦斯十红肠发表

我有个疑问：是发到所有学生和教职工的校内邮箱？谁能想到校内邮箱会有钓鱼邮件？但凡发 QQ 或 163 邮箱等邮箱学生恐怕都不太信吧。

如果校内邮箱还能钓鱼，就不光是学生的事儿，至少得是校长的事儿了…… 得跟西工大一样上热搜。

知乎用户吃瓜瓜发表

现在看啥都像诈骗。领导像诈骗，公司像传销。

这世界没有一个人可以相信的。

太可怕了！！！

知乎用户吃过饭发表

疯狂星期四

V 我 50

知乎用户九叶痕子发表

看到邮件的一瞬间，我以为我登了公司邮箱，以为又是公司的演练

知乎用户沉珂发表

你还别说，纯真无邪的大一新生中招是最多的。

据中科大程老师透露：“昨天下午（9 月 7 日）下午 5 点半，我们利用大家刚放学思想比较松懈的机会，在一个小时发送了 4 万多封邮件，这些邮件全部针对中科大校内的师生，其中学生有 3 万多人，教职工有 6000 多人。

结果中招的人并不少，晚上 6 点半 - 7 点半的时候，钓鱼网站的访问人数高达 8000 人次，大大超过了我们的预期。”

程老师说：“这次演练当中，有不少同学填写了真实资料，其中人数最多的是本科一年级的新生，他们相关网络安全知识比较欠缺，下一步我们会着重对他们进行网络安全培训。”

“中招” 后的页面

有学生攻击了钓鱼服务器

在众多师生当中，有人不幸 “中招”，也有人保持了清醒，部分清醒学生的应对措施让程老师都直呼内行：“我们在后台看到，部分学生提交了虚假信息，说明他们有了防范意识**。**

有学生对我们的钓鱼网站进行了 DDOS 攻击，他们还在 QQ 群分享说免费的靶场来了，不打白不打，当时一度把钓鱼网站整瘫痪了。不过在这次演练之前，我们向清华大学取经时，他们就提示了肯定会有学生会攻击，因此我们也做了防范措施，所以最后并未造成服务器的损失。”

为了避免钓鱼邮件演练变成 “狼来了”，让学校的师生对官方发布的邮件失去信任，程老师表示他们对方案进行了调整，留下了很多 “马脚”：“其实我们最初是考虑用提示电脑发现挖矿行为的通知邮件，可这么做可能未来遇到有电脑被劫持挖矿，使用的师生还不信提示了，所以改成了更宽泛的 “送月饼”。

其实如果足够细心，是可以看出很多‘马脚’的，首先中科大的邮箱缩写是 USTC，我们的邮箱缩写是 VSTC；中科大邮件管理中心是个虚构部门；最后邮件联系电话 0551-36309527 也是假的，中科大的电话都是 6360 开头的。”

热议：“我以为我不会被诈骗，直到……”

此次钓鱼事件在网络上引起了广大网友讨论，也有中科大的同学晒出了中科大月饼真容，“这样的月饼，谁不上当？”

（2022 中科大中秋月饼图源：网络）

也有同学表示 “我原以为我不会上当，直到……”

“反诈从钓鱼开始”

所以说呢，这回反诈钓鱼还是给大家上了一堂生动的网络安全意识课的，中科大值得点个赞。顺便问一句，真的月饼啥时候发下来？

这里是 @艾思科蓝学术，科研领域的连接者。我们每日更新最新行业资讯、学术干货、论文期刊解读，欢迎点赞收藏关注。

往期精选：

牛！5 个文献管理工具推荐 + 教程，解决 90% 文献难题

直接翻译 PDF 全文英文文献，这 3 款翻译工具绝了！

9 款学术党专属 Google 插件合集，使用简单功能强大，可直接访问谷歌~

知乎用户艾思科蓝学术发表

补充一下，有人说中科大邮箱是 ustc 不是 vstc 的话，那么这个邮件还有一些测试意义。

答案不改了，我看到题图第一感觉就是这个。

真要测试我觉得应该 http://vstc.edu.cn 改成 ustcedu.vn 之类效果会更好。

有人说你没看出来，肯定会中招，正好我前几天接到一个钓鱼邮件：

我说一下为什么我 100% 不会中招：

首先，如果我是中科大学生和员工，那么自然知道 vstc 不是学校域名。外人不知道中科大域名很正常。

第二，所有让我填写个人信息的网址，我都会在电脑上看一下 URL 是什么？查看域名注册信息，国内域名会查备案信息，服务器 IP 和所在地。

都确认了，我才会填写相关信息。

这是我分析一个钓鱼网站的文章：

QQ 个人轨迹钓鱼网页原理以及防范措施

也就是即便是我没认出中科大域名，也不会中招的。

如果 “钓鱼演练” 邮件，就是新闻中截图这样的话…

我觉得，这不是 “钓鱼邮件演练”，这是狼来了现实版。

当然看不到点了链接之后的 URL 是什么，但是这不重要。（这种跳转到其他链接填写内容的，一定要在 PC 上确认 URL 是否有问题）

反正以后这个学校，在发什么邮件通知，可能没人信了。

哪有拿 “真邮箱” 发“钓鱼邮件”演练的啊？

真正的 “钓鱼邮件” 是用山寨的假邮箱，“冒充真邮箱”发送钓鱼软件，测试收邮件的人对于 “钓鱼邮件” 的识别能力。

之前好像某互联网公司也测试过，人家用的就是山寨的邮箱发的邮件。

当然，可能有人说，就不兴攻破了学校邮箱系统，拿到管理员权限吗？我想说，都拿到邮箱管理员权限了，后台什么资料没有啊？

知乎用户 iCoA 首席特工发表

很好奇，上面的电话有人拨打过吗，要么谁试试？

0551-36309527

拨打后会显示这个号码是合肥的，但会得到您拨打的电话不正确的提示

知乎用户魂魄妖梦发表

昨天也收到了邮件，不过忽略了。今天点进去看，发现做的挺逼真的，特别是这个邮箱名称：

如果不点进邮箱名称里去看具体的邮箱号码，很难分辨出啊…

中科大邮箱后缀是 ustc.edu.cn

建议邮箱设计人员，展示来件时不要只显示名称，把邮箱号也附上，能大大的减少被钓鱼受骗的概率…，

知乎用户乡音发表

我明白了，官方辟谣也是防诈骗演练，太牛啦

知乎用户锅男保护协会发表

很好，免费送月饼还能是真的吗？想想都不可能

还记得防诈七个一律嘛

凡是要提供卡号的，一律是假的

凡是要提供姓名的，一律是假的

凡是要点击链接的，一律是假的

凡是要视频确认的，一律是假的

凡是要下载 app 的，一律是假的

凡是要递交信息的，一律是假的

凡是要收取邮件的，一律是假的

如果科大做狠一点，完全可以在用户点击阅读的时候就进行后台抓取截图并发出来，所以防范在身边，天下永远没有免费的馅饼，除了打疫苗

有人质疑的，建议先买本书学学

知乎用户王智帅发表

我认为可行，首先犯罪分子不会管是不是中秋节，事实上逢年过节才是诈骗犯冲业绩的时候。

其次每逢大学新生报到，都有大把大把学费生活费被骗光的情况，这次这个 “记忆” 很深刻。

防骗方法不管什么讲到底就是谈钱就要留心眼。

知乎用户熬夜先进分子发表

知乎用户芋头包发表

通过此次演练，校方掌握了一批关乎智力水平的数据

知乎用户必须谈谈发表

这种演练挺好的。

之前也收到过类似的反诈演练，跳转后的官方页面，不能说做的很像，只能说一模一样。

不少人傻乎乎地就把密码填上去了。

然后事后再去看，这个钓鱼简直是漏洞百出，邮箱地址一眼就是不正规的，跳转后的网站也是不对的。邮件正文出现了不止一处错别字，落款也是不存在的单位。

可就是这样拙劣的骗局，还是让很多人上当了。

这其实就好像平常，看到诈骗新闻时，我们很多人会信誓旦旦，说自己不会上当受骗。但反诈不是一项组织好让你来参加的比赛。

生活的每分每秒，诈骗都可能到来。当你没发觉时，你已经输了。

现在很多演练、摸排、暗访，多少都有点这种问题。因为准备好的应对不是真实实力，反而会掩盖很多问题。

这种演练多了以后，大家也就能多长个心眼了。

当然，更重要的意义在于：尽早认识到自己的防线不是固若金汤，自己也不是无所不能的超人。

知乎用户是这个国家发表

“我是想假装抢劫独行单身女子的钱财并威胁劫色。

这主要是防止大家大意，并提高出行安全。

警察叔叔，真不能抓我。我都没离开现场。”

记得普法时听过一个案子：

有个农民工，打了一年工，打算回家了。在车站等车，结果时间还早，就到附近商店给儿子买了个玩具手枪。

他在公园闲着无事，正好过来一个衣着高贵的年轻女子。

他一时短路，就掏出 “手枪”，对女子说：把钱掏出来！

那女子都没敢看，说没带钱。就把自己的手表取下来，给了他。

他说：好吧，你走吧。

那女子就往前走去。

他本想还给她，但是她跑起来，不见了。

不久，有个人从他身边经过，和他撞了一下。

然后说：“兄弟啊，把你的手枪掏出来吧！”

原来是警察，还换了便装，因为碰了他一下，知道是塑料的 “枪”。

之后他就说了事情的经过，打算回家。

然后就以抢劫嫌疑抓了起来，最终进了监狱。

（也就是现在不允许卖仿真枪的原因吧）

你以为反诈，就是反诈？

你收集不确定人群的个人信息，或者试图收集。达到一定的量，看看法律是如何定义的吧。

这样的事，到警方备案并得到允许才算是合法的吧。

知乎用户秀如发表

故事《狼来了》

知乎用户天之水花比壳发表

挺好，我们公司也有日常的钓鱼邮件，这种很明显的假邮件现在还挺多的，上当的也不少，先把简单的关卡给过了

顺便有一个什么特工的回答真是贻笑大方，真正那种发件人都是合法的钓鱼邮件是可以弄出来的，只不过高级一点技术一般不会用在这种撒网的情况

知乎用户咕咕发表

天上不会掉馅饼，

有钱赚的生意自然是越少人知道越好，

任何人告诉你什么能赚钱的，能白嫖的，你都要留一个心眼。

知乎用户千金散尽还复来发表

对学校评价：象牙塔里升起了烽火狼烟

褒姒莞尔一笑

娇声道

“爷爷家的月饼熟了，谢谢你～小帅哥～我在缅甸北部等你来～”

预防诈骗最好的法子，就是：

除了自己，谁都别信

要钱没有，要啥没啥

信息不给，闷头灌水

知乎用户安静地吹牛发表

对于在本次演习中输入了真实用户信息的师生，我们欢迎您于本月 19 日之后前往东校区、西校区和高新园区的一卡通服务部，领取网络安全宣传手册。

恭喜以上同学！喜提中秋加量作业一盒！

知乎用户胡二发表

我一开始看成中科院了，我就说不能这么没水平吧，后来一看欧，中科大，也难怪啊

应该是没咨询他们法律相关岗位吧？

民事上：你学校发布的行为构成要约邀请，学生点击构成要约，填写身份证等信息要约成立你说你是为了钓鱼，那么意思表示中领送月饼和钓鱼的意思表示不一致，赠与月饼行为不成立，学校存在缔约过失责任，应当赔偿相关点击人员侵权费用。或者你表示本来要送后面不送了，按照民法典赠送合同规范，你这种赠送行为发布公告属于公益、道德行为赠送，所以不能反悔，否则缔约过失责任。

按照民法不能违法公序良俗的原则，你这个钓鱼行为也是有问题的啊。

刑事上：由于身份信息不属于财物，所以不构成诈骗罪，但是你学校该发布收集信息部门不合法的采集众多不特定对象的信息（本信息采集目的不是为了向被采集人谋利而是为了钓鱼，同时违背提供人真实表示意思）属于非法窃取公民个人信息，同时数量明显超过 500 条了，构成数据巨大情节严重，同时构成非法利用信息网络罪，想象竞合应该成立非法窃取公民个人信息罪的犯罪预备（你如何举证你收集的目的不是为了发送传播贩卖就很难，没法举证由于你的非法收集行为足够推定你现在已经构成犯罪预备了，否则以后侵犯公民个人信息都可以说我是为了钓鱼呀，那么违反刑法法律面前人人平等的原则）。如果是您单位决策，完成单位任务那么构成单位犯罪，请学校主要管理人自首认罪受罚。如果是部门部分员工或领导个人决策，那么该决策人构成个人犯罪，公诉案件，请自首可以从轻

还有某些学校，有时间找那些小号洗地板，不如好好的发一个道歉声明，然后把月饼发了，越是洗地板越恶心，你那些小号明眼人一看也能看出来，前面乱七八糟说一些什么逻辑也没的评论最后说我觉得学校没问题，恶不恶心啊，看看前几条热评里的评论，一眼就能辨别

知乎用户盖轮发表

18 级毕业生回来蹭个热点。

有一说一科大学生整活能力一直都可以的，以四年前一教发现金矿的恶作剧开始，之后科大学生会每年都会发一张冒充教务处通知的愚人节玩笑。此外妮可人自黑也是有一手的，要知道废理兴工一直是物理学院喊得最响亮好吧（doge）

现在看妮可的教职员们也逐渐学会玩梗了，从之前课堂上鸡你太美的梗图到中秋月饼等等，我觉得妮可幽默已经传染到教职工层级了。这次的钓鱼邮件也是很有创意，很幽默，很 “科大”。

盲点: 发件地址是 vstc，看来 uv 不分的不止麻省理工（building10 上面刻的字就是 Massachvsetts institvte of technology）

知乎用户欧阳寒空发表

这种事情，最好是假戏真做，顺水推舟ᥬᥬ ᩤᩤ

知乎用户宝爸笔记发表

用欺骗学生感情的方法搞反诈演练，这是不讲武德，不讲套路，也有损学校形象，相互信任就是这样被搞坏的。

知乎用户猴子请来的救兵发表

刚看到这个新闻时觉得学校是不是想挨打，中科大也是很好的大学，中秋节整月饼钓鱼邮件搞什么？我要是收到母校送月饼邮件**肯定不怀疑，先点进链接，**填完所有信息，身份证学生证一通传，然后等着领月饼。

确认信息后，嗯？领不了？开始吐槽学校！

还好是学校啊！这要是病毒邮件、诈骗邮件，冠上了个正经名字，你点进链接一通填，不知道会被套出什么东西。

学生在学校里难免不清楚社会上的骗术，特别是素质高的那种学生，他们每天埋头学术，不问世事，想得少又好骗，不会把人往坏处想。我大学时就有同学被钓鱼信息骗了 600，金额不大，去警察那里写笔录了，但是结果就是找不回来。

我写一下大学见过的骗术，下面几种骗术有没有熟悉的？

游戏上私聊你要买你的号，开价挺高，和你说去某某网站交易，你挂号他来买，结果网站显示你操作不当提取买家钱被冻结，要打对应的钱才能取出并退还你的钱。他 QQ 一直吵你快交易，你自责心理，就打钱过去了…… 结果人财两空。
中国银行发信息，说你在哪里消费超额，卡里剩下的钱被冻结了，要你配合他们调查解冻，首先向一个安全账户汇款试试……

3. **补助金**诈骗！这个很可恶！骗子冒充教育局工作人员，向学生、家长打电话，说可以领取补助金，助学金之类的，要提供银行卡号，他这边来操作，然后骗子直接取款走人了。

4. 还有一种！发布救助猫猫狗狗爱心传递文章，骗子编个故事，将扶困帖子以 “爱心传递” 的方式发在网上，引起网民支持和转发，实际上帖内留联系电话是诈骗电话。你要捐钱直接打到骗子卡上了。

总之，中科大这次的反诈演练应该蛮成功的，听说被骗的大一新生都被抓去进行网络安全培训了。给学生种下一颗反诈意识的种子，以后可以帮助他们避免陷入一些圈套！成年人都防不胜防的诈骗套路，更何况学生们呢。为这个反诈演练点赞。

知乎用户芒奇金发表

看了评论区，很多人都在用狼来了和公信力下降等来看待这次事件，就觉得有点离谱。

首先狼来了是那个小孩本人真骗人了，后来狼来了，没有人救他了，小孩骗人，最后自己没了，你不点开邮件，对自己也没多少损失，如果真是很重要的事，也可以找同学、老师，甚至直接找学校确认，甚至学校真有重要的事，也不会光发邮件了，还会有其他渠道通知你，毕竟很多人很久都不会点开邮箱看一下。这样虽然麻烦点，但也比你被骗好。

如果这次事件能让你对所有的陌生邮件，不管是不是官方发的，都产生警惕，那这次行动也算有收获了。

而且这次邮件没用学校的官方邮箱，就是一个假邮箱发的，细心的人还是能从这次邮件里发现不少问题的，学校后来发的公告上也说了这个邮件的几个问题，也是钓鱼邮箱的几个常见的手段，这也是为了教大家怎么判别钓鱼邮件。

至于公信力的问题，如果你因为学校的一次演习而对学校不信任了，那以后骗子用学校的名义骗了你，你还是会对学校不信任，结果是一样的，而且这次学校演习也没骗到你什么，但真正的骗子骗你就不知道骗到你多少了，那时候就不仅仅是公信力的问题了。

总之，这样的演习是很有必要的，让你真正上当一次，比给你做一百次的宣传教育都更加让你印象深刻，都更加有用。

知乎用户 gkj155 发表

孩子失踪两个月，警方至今毫无线索。求助广大中国人民帮忙紧急寻人！急寻 7.15 晚上 9 点多钟在重庆市南岸区大兴场码头失踪的 10 岁女孩轩轩，我的外甥女，失踪时身穿蓝色连衣裙，扎马尾辫（同我头像 / 查看主页）联系电话：杨女士：18723474448 张先生：17830212713 轩轩小姨：15993074832 希望大家能帮忙找到线索，感恩！

事出自己身上才能深切感受到底层老百姓办件事能有多难，人命关天的案子派出所都能置之不理，向上反馈也不了了之，官官相护早已在意料之中。孩子是溺水或不是溺水，在没有任何证据表明溺水之前，拐卖方面为什么不可以排查？

这就是唐家沱派出所警方对待家属的态度，一条鲜活的 10 岁孩子生命换来的却是警方 “多一事不如少一事” 的办案态度。判定溺水，事发当晚不帮助家属采取任何水上搜救行动。事后水上无线索，家属请求排查拐卖，遭到警方的强烈拒绝。警方一口咬死溺水，并强调这不是一个拐卖的案子，整个派出所都认为是溺水，致使案子长时间未有任何进展。宝贵的时间均用来坐等线索，敷衍家属，给家属频繁做思想工作，让家属接受溺水放弃寻找。此通电话是在打了重庆市警务服务电话后派出所的主动回复电话，我们只想恳求警方认真排查每一种可能。家长有多自责有多痛苦，这些对于案件进展来说于事无补。希望中国人民警察能摆正态度，遵循党的宗旨，恪尽职守，认真办案！

（主页可以看）

无意占用公共资源，但我们真的需要各位爱心同胞的帮助，家庭已遭遇灭顶之灾，每一天都在等奇迹，即使警方早已放弃，即使警方态度恶劣，但我们会一直等孩子回来。

知乎用户轩轩小姨发表

本就不多的公信力又被消费了一次。

知乎用户 dezhwawa 发表

对学校公信力会不会造成影响？上演狼来了的故事？

知乎用户喳小铭发表

我到不知道中科大平时的邮件管理机制是怎么样的

但我觉得反诈训练这种东西得留有能被发现的破绽

因为信任既是珍贵的美德又是天生的本能

我们多多少少都会有些基本的信任给关系重要的存在，比如亲人、比如上级管理部门、比如警察

假设你的老父亲当面诈骗你，只要不是哄堂大孝的关系也许很少有人顶得住

而有人已经反诈训练到真警察来了也骂回去的境界

是容易被骗，还是全身树起拒绝的刺，还是消耗脑力对每一个接触到的信息进行详细的甄别

不好说哪个更好

知乎用户神焰处刑官发表

免费最贵。

知乎用户哈哈发表

幸亏没点链接，要不然本科信安白学了，对不起坑神（逃）

ps：也知道免费月饼这种好事只有校庆才有，今年好像不太可能

知乎用户 lam lau 发表

什么鬼，以前没领到过免费月饼啊

知乎用户 noblered 发表

我愿称之为最强的防诈宣传，现有的常规防诈宣传基本是在和用户说：你不要被骗，你千万别信骗子诸如此类的废话。但是怎么骗人的，说的含糊不清。

知乎用户 Elijah 发表

牛逼

知乎用户猛虎眼前无沟壑发表

提起月饼，不知怎么的我突然想起来当年抢月饼被阿里开除那哥们了。。。

知乎用户罗辑发表

只能说闲的

知乎用户 1gracefulraider 发表

做访钓鱼演练是对的，但这次科大搞的行动留的破绽不多，甚至把收集资料的功能都做了，感觉有点为了 “成功钓鱼” 而故意为之，骗了很多人还很得意。但下次换成真正钓鱼的邮件，马虎的人该中招的还是中招。

其实如果足够细心，是可以看出很多‘马脚’的，首先中科大的邮箱缩写是 USTC，我们的邮箱缩写是 VSTC；中科大邮件管理中心是个虚构部门；最后邮件联系电话 0551-36309527 也是假的，中科大的电话都是 6360 开头的

以前的公司也做过类似的测试，首先 VSTC 的这种伎俩就被邮件系统自己就识别出来了，显示为公司外部邮件（这是邮件系统的标准功能，但总有人不重视），当然还有其他一些破绽。中招的人不多，但把最马虎的一批人筛选出来就够了。这时再告诉他们以后要注意系统的提示信息这些技巧，更有针对性。

知乎用户王欣宇发表

这次演练期间没查看邮件，没赶上，但不久前确确实实被骗泄露了邮箱地址。

中招那次的钓鱼邮件伪造得还要真一点。首先发件人地址就是科大邮箱，估计是伪造或盗号后群发的，而邮件中的链接从邮件中看确实是官方链接，但是点击后跳转的却是钓鱼网站的链接，但当时没有注意，就直接 “登录” 了。后来是点了登录几次之后还是卡在登录页面，才检查网址反应过来的。科大的官方地址是 http://ustc.edu.cn，钓鱼网站的地址直接高仿了一个：http://ustc-edu-cn.cc，乍一看真没反应过来。后来检查邮件，发现邮件的源代码是官方链，也是挺鸡贼的。不过措辞里面确实也有很多问题，本来应该看出来的，这也算是阴沟里面翻船了吧，后面赶紧改密码……（在新密码中通过问候黑客老母的方式提醒自己以后注意防范）

然后越想越气，就去 lug 群里找大佬帮忙 DDOS 了。

只能说这种演练还是很有必要的。由于邮件协议本身的问题，发件地址其实是可以随便填的，收到邮件时还是多注意辨别。

知乎用户肖子聪发表

可能无关主题，只是想起来还在国外读书的时候，每学期也会收到一次学校发的钓鱼邮件，点进去就会直接跳转到学校信息技术部门，告诉你你被骗了，以后记得别乱点邮件链接。

知乎用户弹簧发表

企业里也经常搞这种演练，还是很有效果的

知乎用户 dr pos 发表

反诈演练还是好模拟过才长记性

知乎用户哈哈发表

可以，很深刻了，不中一次真的不知道自己那么容易中招。

知乎用户狗窝里的跳蚤发表

你们就没有怀疑过给你们上课的老师是不是真老师吗？

知乎用户胡可发表

诈骗 “技术”“话术” 一直在层出不穷的更新，从 “技术”“话术” 范畴去教育学习反诈骗，那就永远落后诈骗犯一步，永远都还是有人会被骗。

正确实的防骗教育应该是从【别贪便宜，天上不可能掉下免费的馅饼】、【基本逻辑思维】这两方面去教育。只要这在这两点上能树立正确的观念以及基本逻辑思维，不管诈骗技术话术怎么更新，都骗无可骗。

就以中科大月饼钓鱼事件来说，第一点【别贪便宜，天上不可能掉下免费的馅饼】，这点是不成立的，因为学校发个过节礼物很正常，而且这也不是贪便宜。但是第二点【基本逻辑思维】这一关不了。学校如果真发月饼，最高效最有效的方式，就是每个班分发下去，由班主任或者同学们帮忙带到教室，放学前在课堂里直接发下去就得了。而绝不可能在网上登记一推乱七八糟的东西。有些人说认域名，一是这个太专业，二是，现在很多都是用短域名生成的，特别是手机端，生存的短域名点进进去后出来就是一个目地页面，并不会调用浏览器，就算会调用，手机浏览器端现在也不再显示真实域名了。所以这一点没有任何意义。

但其实大多数诈骗，第一点就直接可以排除了，也就是【别贪便宜，天上不可能掉下免费的馅饼】这一点。所以说，怎么教育都没用。人被骗，大多数是因为贪。既然你要贪，被骗是活该。

知乎用户六卖神剑医痒趾发表

接近 8% 的上钩几率。

而且是大学及以上学历的人群。

就可想而知平头老百姓有多大可能受骗了。。

知乎用户 77788999 发表

中科大校方认为该校学生的智商有必要进行反诈演练？我看校方那帮行政人员确实有必要自己演练演练。

知乎用户海涛发表

有没有人对这件事情做出过整体评估

我不知道都有哪些反诈手段各自优劣

一时竟然分不清这个操作

到底是——好处多还是坏处大

别反着反着

摧毁了人与人之间最基本的信任

乐子可大了去了

————

9 月 7 号湖南衡阳的座机电话

9 月 6 号湖南邵阳的座机电话

9 月 6 号广东清远的座机电话

9 月 1 号湖南怀化的座机电话

8 月 31 号山东淄博的座机电话

8 月 28 号湖南永州的座机电话

……

刚开始我还以为是银行卖了我的个人信息

现在想想也有可能是有人拿我的信息去做反诈演练去了

还有我现在都怀疑所谓的——学校遭遇美国安全局攻击到底是真是假了

刚攻击完就碰上网络安全宣传周了？

这不巧了嘛这不——过来当宣传教材的吗？

……

知乎用户知乎用户发表

虽然大家觉得校方是在钓鱼，但是校方也有理由为自己辩护。

问题的关键在于，学生收到邮件后的现实反馈是什么样的。

如果学生的反馈是：这是诈骗信息，可以忽略，提高学生的反诈能力，这是好事。

知乎用户海里有大鱼发表

**9 月 5 日——9 月 11 日是 2022 年国家网络安全宣传周，**而中科大也趁着这个时候好好为同学们上了一课。在中秋节来临之际，各大高校都会给学生们发放月饼，中科大正好利用这一机会向学生们发送了 4 万封 “免费送月饼” 的钓鱼邮件，内容中告诉学生只要填写资料就能领取月饼，可学生们一点提交了资料就会发现，这原来是一次反诈演练。

中科大网络信息中心的老师也表示，因为最近国家网络安全宣传周正在合肥举行，所以想借此提高学生们的反诈意识，所以才发了钓鱼邮件，没想到不少学生还真的中招了，其中大一新生居多。

但是让大家都没想到的是这件事情又出现了反转，有些学生一眼就识破了这个钓鱼邮件，并且非常高兴，表示免费的靶场来了，不打白不打，所以学生们就开始攻击学校设计的钓鱼网站，一度把网站整瘫痪了。

中科大的这次反诈演练赢得了许多网友的点赞，大学生们刚步入大学校园，社会经历也比较少，每年都有不少大学生被骗，所以网络安全防范还是非常重要的。

常见的电信诈骗手段有哪些？

**1、网络贷款。**先交保证金、验流水金、解冻金都是诈骗。

**2、网络交友。**拉入群聊后让你投资、博彩、炒股的都是诈骗。

3、客服或快递员主动联系退款，发二维码链接让你点击的都是诈骗。

**4、网络刷单、刷信誉属于违法行为，**且都是诈骗。

如何防范电信诈骗？

**1、不轻信。**不要轻信来历不明的电话和手机短信，所有利益诱导性信息都不要轻易理睬，不给不法分子进一步布设圈套的机会。

**2、不透露。**无论什么情况，都不要向陌生人透露自己及家人的身份信息、银行卡密码、手机号码、家庭住址、支付密码等。

**3、不转账。**绝不向陌生人汇款、转账，他人请求借钱、转账、线上支付等，所有信息一定要当面或者电话联系本人核实清楚。

**4、不回拨。**所有陌生信息和电话都不要轻易回拨。

**5、不点击。**不要点击陌生网站或者陌生号码、邮件、信息等发的链接。

**6、及时报案。**如果上当受骗或有亲戚朋友被骗，立即拨打 110。

西安外事学院为了提高学生们的网络安全防范意识，也会经常举办网络安全知识讲座，让学生们对网络诈骗的手段多一些了解，知道怎么辨别、怎么防范。

最后西安外事学院提醒大家，在大数据时代要注意保护好自己和家人的重要信息，与学校、同学互相协作预防电信及网络诈骗，减少犯罪分子通过网络实施犯罪的机会。

知乎用户西安外事学院发表

反转了，我都领到月饼了，其实第二个邮件才是假的

知乎用户太平洋棋牌室发表

再别说了，现在同事们已经尽力不用邮箱了，已经被自家钓鱼玩怕了。

知乎用户铁罐头发表

电信诈骗是国内号码成功率大吧

国内号码都实名制了吧

问题在哪知道了吧

防范方案其实也简单，不认识的除了快递外卖统统不接

知乎用户李四发表

[点击查看图片]

知乎用户匿名用户发表

很正常的行为，外企经常会有这样的反钓鱼的演练。

收到钓鱼邮件，直接汇报就可以了。

我认为大学的做法没错，符合当前时代的信息安全要求。

知乎用户孙瑞发表

这种事得看主体吧，本意是好的，也难免有点烽火戏诸侯，东郭先生和狼的意味了。

以后再有类似通知，学生都会怀疑，该办的事效率会不会就低了。

知乎用户得缸大哥发表

非常支持校方这种行为。不要以为学生距离诈骗很远。其实诈骗犯对任何都会下黑手的。想想几年前被骗学费的徐玉玉同学。

防诈骗真的需要从小就教育，而且诈骗手段也是每时每刻都是进步。希望大家一辈子不会遇到诈骗。

知乎用户张伟发表

很有必要！

vstc 也太明显了吧

知乎用户 Piggy 发表

![](data:image/svg+xml;utf8,)

知乎用户鲜肉包子发表

不讲武德！

来骗、来偷袭！

耗子尾汁！

知乎用户秦楼小恋发表

我月饼呢？

知乎用户敖德萨的勃朗施坦发表

我觉得挺好的，中一次奖真的会警醒很多

我在外企工作，我们每年都有相当多的钓鱼课件要做，而且不是单纯的视频，是需要做题互动的视频课件 QAQ 除此之外还有定期发送的钓鱼邮件，中过一次奖还要额外加训 QAQ

我觉得这个形式挺好的，希望国企事业单位和各个学校都能做一下类似的活动

知乎用户九成发表

确实不排除这种可能，因为这种诈骗利用的就是人觉得公司 or 学校邮箱不会收到垃圾邮件的想法

（当然本质还是诈骗绕过了内部的拦截）

知乎用户 sorrypl 发表

所以

学校到底发不发月饼？

生生都有吗？

知乎用户王小二发表

反诈从幼儿园就开始搞了，但还是年年中招

家里大宝幼儿园时大概提前有吹风，一个班就被领走了一两个；小宝班级小朋友排着队整整齐齐的被骗子领走，只有一个清醒的小朋友，但势单力薄，往回拽同学都拽不住

知乎用户 lost 发表

巧了，我们也是

关键是用内网邮箱，还是管理员账号，谁会不信，真的有反诈意义吗

知乎用户低等下人 9527 发表

没必要，该被骗的人怎么演练也会被骗

知乎用户索螺蛳发表

知乎用户两个头的蓝胖发表

从拉黑不良邮箱地址做起。

知乎用户 tony 发表

它们发 4 万封扰乱正常秩序，屁事儿没有

我要是如法炮制也发 4 万封，至少得 3 年

知乎用户鸡蛋王子发表

竟然没有一个学生或教师报警？？？？？

要是报警了，那场面估计很壮观，毕竟一个学校被钓鱼，也是挺轰动的一件事！

知乎用户 Amos 发表

白衣人也是演练。

知乎用户风一样的飞子发表

好吧…… 感谢学校教育了我，哈哈哈

知乎用户莫小米发表

校方真是缺德！

这不是钓鱼，这是一网打尽

这不是愿者上钩，这是冬季捕捞

还有可能就是诈骗，本来免费送月饼，一看 4 万份，太费钱，收回丢人，只好出此下策

呸呸呸！

知乎用户 lauv 发表

被骗钱都是轻的，就怕了是那种为了追回被骗的钱，然后又网络借贷那种，那才是真难受了。说实话，现在的大学生确实很需要加强对网络诈骗的抵抗力。不要被骗了之后才发现。其实也不只大学生，所有人都一样。

知乎用户坏蛋亓发表

也不能说 10% 上当

身份信息这种东西普遍有一种 “反正有心就能查到，已经暴露过多少次了” 的感觉

不到最后一步 “预付款”，应该就不会受骗吧

知乎用户某秽翼的伊卡洛斯发表

官方钓鱼是吧

知乎用户凌燕雪枫发表

挺正常的，我们学校鱼饵是补贴，也有不少咬钩的，学历高只能说被骗的比例相对会低，完全没有是不可能的

知乎用户托各位的福发表

每年开学都会有一批上当受骗的学生……

知乎用户上将潘凤发表

原来说我挂科的邮件也是假的

知乎用户很好发表

我已经好几年不吃月饼了，记得我上大学的时候，每次中秋节都买好多月饼，有一次吃了一个变质的月饼，上吐下泻，去医院挂了几天点滴才算好，从那以后我就开始便秘了。

一直持续了好几年，几年才刚刚好转，但是看到月饼的话也是完全劝退了，不想再经历一次便秘了，大家吃东西时一定要注意啊。

知乎用户热爱养生的女子发表

挺好啊，贴近实战演练

知乎用户一叶知秋发表

那这样说，可以名正言顺的钓鱼执法了

知乎用户一只柚子发表

人性的弱点使得电信诈骗防不胜防。

知乎用户 huyou 发表

上当的也演练一下被诈骗后的报案，投诉，索赔吧。

知乎用户 hzjtao 发表

非常好，总比把大家喊一块搞什么讲座有用得多

校方列出的清单里破绽已经给的够多了，给中招的一个警醒就足够了，能管几天是几天

知乎用户我亦飘零久发表

挺好，说明连中科大的诈骗上当人数都在十分之一……

知乎用户王白白山雨白发表

这个操作很迷。

作为学生，我是很难相信学校会免费送月饼给我。

作为老师，学校发月饼也不可能发送邮件，直接微信群一通知，去办公室拿就行了。

学校为啥搞这出？

学校给的解释是 “反诈演练”，说明学校确实做了这个动作。

这个动作的目的是不是真的是反诈演练。暂且打一个问号。

搞不懂呀？

知乎用户北词君发表

每年中秋节，中国科技大学制作的特色月饼都会成为 “抢手货”。今年中秋节前夕，有中科大学生在小红书发帖称收到了“中秋免费月饼领取” 的邮件，点开填写资料后月饼没领到，却发现是钓鱼邮件。

知乎用户奔跑的南奔万发表

学生最好骗了，我指的大部分～

知乎用户铲车司机小基发表

这个钓鱼邮件是怎么回事？

我以前也有收到过这样的邮件，不过是不敢点开，免费的时候就是害怕有坑掉进去了

知乎用户晓 xiao 发表

附一张来自乌克兰的呼叫转移来电

钓鱼邮件这种东西在常接发邮件的情况下其实很容易分辨，记住一句话，没买过彩票就别想着自己中了大奖，没付出代价就别想着自己能白吃白喝。

遇到电信诈骗电话，直接挂，不要想着接着玩，接了电话就是对下载了国家反诈中心的不尊重，

遇到电信诈骗短信不用理会，记住有事可以上微信说，

遇到诈骗 QQ 或者微信了，不用慌，记住一句话，14 多亿人，凭什么有了好处到你头上了，不用理会，直接删。

我平均隔两天就会来一个诈骗电话，虽然我的信息不值钱，但是意识还是要有，只要你想

生活处处都是反诈骗演练。

知乎用户懒懒散散不想动发表

很正常啊，高校经常搞这种演习的，先用低成本的群发钓鱼邮件等方式，把防范意识低的学生和教职工筛选出来后，再重点开展防诈教育。事实上这也是诈骗份子的常规套路，你中了一次就会有深刻印象了，那么在演习中被钓总好过实际被骗。

知乎用户海拉尔的林克发表

西工大事件之后，我们国内很多有高精项目，机密项目的高校其实都需要这样的演练。

有时候，你能泄露的东西，你能接触的东西，远比你自己想象的要多。

知乎用户爱做梦的 Monday 发表

太正常了，社会心理学现在也属于网络攻击的范畴内了，预演练各行各业现在都在搞。

知乎用户 Gary Ma 发表

非常不错，推荐一部美剧《黑客军团》，每次能黑的关键点都是跟人相关，只要有人点了钓鱼邮件，就能黑进去。

知乎用户 Acute 发表

网络安全演练非常重要，虽然在某些人看了钓鱼邮件、短信、网站的攻击不值一提，但很多人还是会上当，所以需要类似的演练。

包括在公司中，信安部门有时候也会发钓鱼邮件，希望能提高大家的防范意识，警惕起来。

知乎用户崇山峻岭发表

我觉得挺好的，我家小孩就是中科大本硕在读，吓得我赶紧问她你中招了没？她说没有。估计也不是因为她警惕性有多高，而是因为懒。。。一懒抵十骗嘛~~~

看到有人担心会不会是狼来了，我觉得大可不必。这才哪到哪啊，频次太低。而且狼来了是用真信息耍弄人，这个演练用的是假信息，考验的是你们的观察力和细心。

知乎用户 ydjt2022 发表

如果用苹果系统, 就不会中毒, 最多也就是个人信息泄露。

而国内大部分都是用安卓手机，个人信息记录泄露早已大众化，而令人匪夷所思的是，引导致来的诈骗和中毒究竟是什么原因？

有没有苹果和安卓功能合并的系统？

知乎用户南城浊酒发表

所以能真送点月饼吗

知乎用户 Folklore 发表

煞费苦心啊，现在诈骗已经不光陌生人了，熟人，亲戚也在欺骗人，这不算新鲜事，但是不信都居多，诈骗首先肯定熟人，陌生人还不具备了解你的家庭成员，与你得生活环境了解，但是往往都是说的头头是道，好像现在疫情电话调查都在诈骗，说是其它社区的，调查摸底情况，说假话都不怕闪着自己舌头了

知乎用户绝望的生鱼片发表

我想跟之前的西工大那事有关吧

知乎用户轻井泽发表

一大早睁眼看到这个邮件，让我很开心，输入密码了，结果让我很痛心。。。qq 邮箱自动隐藏了发件人邮箱地址啊，我哪里看到了是 vstc！我就说啥时候科大变大方了，居然发月饼？？？？

知乎用户仲永发表

高明！！！某些单位学到了新技能！

经历过某 985 某学院的企业奖学金通知，努力获取后一年了没有发，学院通知 “不知道”。

大概学院管理这个小老师也是为了增加我们的社会经验而搞的『反诈演练』吧

知乎用户智慧生活体验官发表

我觉得这种演练很有必要

知乎用户雾起鲸落時发表

不说别的，武大今年真的发了月饼。

知乎用户边缘系统发表

应该比贴在墙壁上贴反诈宣传有效果，越接近实战越能提高防范意识。

知乎用户 0isstart 发表

这事确实太有必要了，而且就应该中科大来做，因为：

电信诈骗常用的那个探针盒子，似乎就是科大讯飞做的。

知乎用户阑珊咖啡发表

这就是典型的 “用电信诈骗的手段来阻止电信诈骗。” 俗称“脱敏疗法”

大概意思是这样的，电信诈骗的这些手段既然这么多人能上当，说明还是有一定效果的，尤其是针对那些特定的人群。那么我们反诈骗也可以投入和骗子数量相当资源，人力和设备等，也使用与骗子完全一样的手段针对目标人群进行轰炸。

你搞中奖我也搞中奖，你搞重金求子我也搞重金求子，你搞刷单我也搞刷单，你搞杀猪盘我也搞杀猪盘。。。

但是，我们的反诈骗部门把人忽悠过来以后，我们不要钱。我们回过头来告诉受骗的人，你看我之前都是骗你的，即使我养猪样了几个月我也是骗你的，外面还有好多跟我一样的骗子想要骗你，你可千万不要上当了，给他们来个反洗脑。

中科大这次用个免费领月饼的邮件就让不少人 “上钩”，可见防诈骗事业 “任重道远”。

下一步，可以让一些上当的同学来分享自己上当的 “心路历程”。

知乎用户诚学信付发表

很有意思，也十分创新。不过，，，

建议多搞几次，强化学生对校园邮箱的信任。

知乎用户谜之桑发表

演练后送个月饼当奖励，演练效果更好。

知乎用户连吃十个柠檬发表

很好，这比上社会被骗了好太多了。建议学校加一门防骗必修课。

知乎用户 jajaqis 发表

不用邮件系统，就是最大的安全防范。。。。。。

知乎用户何事惊慌发表

假作真时真亦假

无为有处有还无

演练个屁

被骗不算什么

诈称 “发月饼”

既伤害了学生感情

又消费了学校在学生中的公信力

要是下次中科大发通知被学生以为是诈骗怎么办？

不是耽误了正事？

知乎用户大阴阳师鲍勃发表

我就是想愉快地不加思考地白嫖份月饼，谁知道这个社会，还没出学校已经套路这么深了。下次我还是会中招的，只要我不仅懒，而且还穷的话。

知乎用户月不见发表

如果我一个人收到我觉得这是假的

但是我的老师同学都收到了

还是在学校

很难不相信是真的

知乎用户烟雨海发表

太实用了。

经过这个事件，这个学校的学生以后收到诈骗的概率就会降低挺多的。

知乎用户狼郎发表

蚌埠住了哈哈哈

知乎用户逆天小炮发表

放飞生殖缺陷的蚊子来降低野生蚊子的种群数量

诈骗也是，处于演练目的进行的诈骗，也会起到降低总诈骗数量的目的。

原来想过由国家出面做这样的反诈实验，提高国民警惕性，可是又觉得可能会导致人民的警戒性疲劳，万一真的遇上诈骗，反而觉得，诶是不是国家的实验，反而处于好奇想要去点击链接，但是人们也会对诈骗手段具有疲劳性

《猫鼠游戏》中，主角可以从一个骗子转变成反诈的大师。全看如何去运用手里的知识了

现在高校做了这样的实验，还挺好的

人们只有经历才会对诈骗有深刻的印象，只是宣传，效果会大打折扣

知乎用户电竞交际花小 Ming 发表

男七技校的月饼现在这么受欢迎？

当年还是黄土飞扬的东区操场上

一人一个月饼

OMG，人生第一次吃到橡胶糖馅儿的月饼…

知乎用户 Waterfront 发表

如果只是向一部分人发邮件，相当大一部分人没收到的情况下，这我能理解为是为了反诈。

但是如果向全校师生发这邮件，这就是傻逼！我收到了邮件，我会怀疑，但我全寝室，全班，全专业都收到了邮件，那还叫诈骗吗？这就是事实。

知乎用户天和街浪子航少发表

病毒都防不了，你说防上边诈骗下边？

知乎用户蒜汁老豆腐发表

看到那些阴阳怪气的就根本不用理了。

这种诈骗上一课是非常有必要，说实在，我可以说现在的人 99% 是不知道如何判断一个域名真假的，以及如何判断网上的信息真假。

当然 100% 坚定肯定是不可能。但是记住一条也能识别 99%，就是去查域名备案信息，百度一搜就有，其他也有科普。

只要正经在国内运营的网站域名，必然是需要备案的。。而备案的公司一查一核对就八九不离十了。遇到这种贪便宜的第一件事一定要查域名备案。

当然你说域名不备案的，那这个就不算 “合法” 运营，你也敢碰？

其实不止这种明显的利诱诈骗，还有很多广告诈骗。

例如打着 “国家政策” 的私人医院的免费报名活动之类的，一查域名就知道背后是啥医疗公司乱搞的了！（反正没有政府机关背书的域名一定不要去登记，当然你可以说政府机关也坑，但是起码一个医院公司的域名你信？）

知乎用户难知发表

牛逼克拉斯，厉害了

知乎用户花开富贵天发表

这是比较好的防诈骗方法，正面宣传教育可以，但效果不太理想，这种方法值得一试。

知乎用户 lgm023 发表

气氛都烘托到这了，不正式免费送月饼么？

知乎用户锦鲤机发表

这个好！与其被坏人骗，不如被好人善意的骗！毕竟没有实质损失。

建议以后 zf 多搞点这种演练性质的 “钓鱼”，“诈骗”。让我等时不时被骗一下，在被骗中成长，锻炼成百毒不侵之躯，好！支持！

记得末尾给被骗者附上温馨提示～

知乎用户王珞丞发表

“以后诈骗被抓就这么推脱，大家学废了没？”

知乎用户之乎者也发表

是不是玩不起？

学生看了下，学校官方邮箱发布的公告。

怎么不信？

那下次喊着做核酸我也保持怀疑，提高警惕。

知乎用户李大福发表

啊这啊这。。。

知乎用户甜橙汁儿发表

不要自以为永远不会上当！

有这种想法的都很危险，你没上当是因为运气好。

知乎用户霜魂之泪发表

前几天被其他方式骗的还没缓过来，真的挺难防的。

也不要觉得自己永远不会被诈骗！

知乎用户邢先生不爱写字发表

不知道为啥，想起明尼苏达被 Linus 加入黑名单的事件了

知乎用户绝不发言发表

安全工程师路过

知乎用户一个认真的海王发表

我点进去发现浏览器自动密码填充居然没反应，就感觉到不对劲了。_(:зゝ∠)_

知乎用户迎风而起发表

如果下次是真要发月饼，我填还是不填呢？

知乎用户王样发表

反正我没收到邮件

话讲回来蜗壳能免费发月饼？不是做梦就是诈骗 / doge

知乎用户你猜发表

把这些上当的人的联系方式记好。

以后留着有用哦。

知乎用户 Alexfishing888 发表

抖音刷到了过来了，所有媒体号的评论下面网友都是清一色的抨击学校用官方账号钓鱼可耻。没一个评论说 USTC 和 VSTC 的区别。看来大多网民是不用邮箱的，不懂发件人名称是可更改的，更不懂什么叫域名……

知乎用户张三发表

已拉黑，已举报

知乎用户叶白发表

最好不要用校官方邮箱来做这件事，不然就有点像烽火戏诸侯一样，演练多了不知道是该信还是不该信。

知乎用户秋寒发表

要带起 " 狼来了” 的游戏么？人人都演练，动不动就演练，还玩不玩了？

知乎用户不在服务社发表

狼来了的故事听多了会发生什么

知乎用户大白发表

神经病，建议依法处置相关责任人。你说是演练就是演练？

知乎用户在冥王星护球发表

用违法的行为，普法？真刑！

知乎用户一贫酌酒发表

真想给策划一巴掌，

是不是闲的？

知乎用户青鸟发表

这纯纯的玩不起吧

我看就是学校没准备那么多经费，故意来个劣质钓鱼宣传。填了又怎么样，现在这个网络时代信息早泄露了

别整这没用的，月饼到底发不发？

知乎用户鳄鱼的眼泪发表

好一出大戏；钓鱼，反钓鱼攻击！诈骗演练！

45000 余封钓鱼邮箱，近一成的高材生甚至是教师上钩。包括近两年推行的国家防诈骗 APP，也是各种诈骗信息检测。但是，诈骗手段越发高端，防不胜防；那家里的老人又该怎样防诈骗。

前两天接到了 “微信客服” 打的电话，说得特别理直气壮，总结下来就是说我在北京开号卖口罩，被人举报，现在要封号；

说真的，对方说得冠冕堂皇，我当时感觉压迫感就上来了，骗子利用的就是这样的心理。好在，我冷静下来，北京？开号？出口就是一句：你不是 vx 客服么，你先看看我 IP 定位在哪！然后骗子挂电话！

不久，防诈骗中心就追踪到了，打电话确认有无财产损失？说真的，这速度真的厉害，值得一个赞；但是要是老一辈没有接触过太多东西，骗子手段又多，真的是防不胜防。

知乎用户可乐发表

用中科大官方网络系统发的，同时又以中科大邮件中心真名发出，如有学生相信了也是理所当然的。对于不打开或填写假信息的学生，可能他们也并未认为是钓鱼邮件，只是不想去看不想去抽奖而已。建议，如真演练，就搞一个真正假的服务器和假域名来搞。

知乎用户齐声发表

那以后是不是还可以搞钓鱼执法进行犯罪演练？

你这以官方身份群发邮件，学生能不信吗？

知乎用户灯塔发表

狼来了

知乎用户求知者发表

我服了，官方还搞这个？能不能正常点？

为了做防诈骗，用诈骗手段是吧。

到时候你发个什么信息还得先辨别一下是不是诈骗？公信力还有这么败的？

知乎用户白圣发表

希望公布后续，结果是啥？

知乎用户 ABC2XYZ 发表

就怕 “狼来了” 以后发什么重要邮件，人家都不理了

知乎用户胜天亿子发表

最好真的把月饼发了，否则学生能记这种脑 T 行为一辈子，如果我的学校这么做，只会让我觉得它又抠门又傻宝。

毕竟脑袋上的坑不是这么容易填平的，该被骗的一样被骗，说句不容易被接受的话，被真真正正的坑两回，比任何玩意都有用，大学生试错成本又低，对脑袋有坑的人来说大概率是个好事。消耗学校信誉去干这种无意义的事，不如发两块月饼实在。

知乎用户匿名用户发表

上周刚教过幼儿园写请假条，刚才班上一宝贝给我打电话请假：老师，我今天感冒了，上午妈妈要带我去医院，请假半天，请老师批准。

我听了之后就习惯性得问：还有什么要说的吗？

结果孩子奶奶的说：此致，敬礼！

知乎用户洛亦仙发表

校方的行为是典型的甩锅，破坏了任何人之间最基本的信任。

某天，你接到一个电话，接起来对方自称防疫指挥部，问你最近去过哪里。

问：他是骗子还是真的防疫指挥部？

如果他使用固定电话，你基本可以相信对方至少肉体在国内，但如果对方使用的是私人手机号呢？

你们都没有接到过私人手机号打过来的流调电话吗？

安全和效率永远是彼此对立的：

如果我们接到私人手机号打来的流调电话，我们能不能直接怒斥对方冒充公检法诈骗；
如果我们接到任何一个私人手机号打来的自称某某平台客服，我们能不能直接怒斥对方冒充客服诈骗；
如果我们接到任何一个私人手机号打来的自称某某公司 HR 的电话，说收到了你的简历，约你面试，你是不是也能直接怒斥对方试图诈骗，然后理直气壮地挂掉电话？

很遗憾不能，这个世界就是建立在人与人的信任之上的。

一般情况下我们就是要信任防疫指挥部、社区的公共电话有可能紧张，所以只能用私人手机号联系；就是要信任某平台、某公司的客服有可能因为接到了你的投诉、工单，所以私下处理；就是要信任 HR 一般情况下会为了方便给你打个电话约面试时间，然后加个微信方便沟通。

这种情况下，我们怎么判断对方是诈骗呢？

只能通过对方的言谈举止：流调电话最多问你住哪，不会问你要银行卡，需要隔离的情况会让你原地静止，会有防疫工作人员上门找你，不会让你去银行；客服说的内容应该只限于一件小事，HR 的电话应该只限于面试，如果让你掏钱，就算是真的公司的 HR，也应该当作诈骗处理。

回到这次事件，钓鱼邮件使用的是校内邮箱，相当于你接到了固定电话打过来的流调电话，措辞也没啥问题，格式也有模有样，理所当然应该信任。

如果用这种方式培养学生的反诈意识的话，那么班长用自己 QQ 号在群里征集信息是不是也要核实一下对方有没有被盗号；如果接到一个邮件通知你开始选课了，你是打算打开邮件附带的链接还是当成诈骗邮件扔进垃圾箱？

最重要的是，诈骗和抢劫一样，都是有组织的罪犯针对没组织的个人，只有千日做贼，没有千日防贼，我们不可能组织一场抢劫演练，看看普通人是不是有防抢劫意识。

就算是地震演练和火灾演练，我们也是要首先加强建筑物的承灾能力，其次才是普通人的防灾熟练度。

既然我们不可能要求所有人随身带枪来防治抢劫，就不能要求所有人在精神和信任上装上防盗门。

而且就算是普通人的防灾熟练度也只练习当地经常发生的灾害，我们不可能让陕西人练习如何面对台风吧。

学校有保安，国家有警察，可在很大程度上保护我们不受抢劫犯伤害，我们都知道诈骗犯都在国外，所以执法难度很大，但是国家可以御敌于国门之外，学校也应该给邮件服务器配上保安。

学校现在的行为就是让保安换上便服，然后一人提一根棍子，去宿舍楼把学生挨个打一顿，一人抢走五块钱，然后嘲笑学生防抢劫意识不足。

所以说学校破坏了人与人之间的信任。

如果学校以后发出任何通知，收集任何信息、都有 1% 的学生来核实一下是不是诈骗、另外有 1% 的学生一眼认出来这就是诈骗，所以拒绝执行的话，一定非常有意思。

知乎用户木又发表

神经病吧

中秋节不发月饼还搞这出

很难不让人怀疑是不是发月饼的钱被贪污了！

难道这校长是个蒙古人？（传统意义上蒙古人不吃月饼，现在也都吃了）

知乎用户 Alyti 发表

确实能一定程度上提高大家的反诈意识，而且无独有偶，去年清华和北大也进行过钓鱼邮件演练。

就在 9 月 6 日，中国科学技术大学公布一组数字：2022 年 1 月 - 8 月，该校邮件服务器有 921 个账号被黑客窃取密码发送垃圾邮件，平均每天近 4 个账号被窃取密码。
学校同时表示，“我们发现近一个月以来，不法分子开始针对我校的人员特点，编写针对性的钓鱼邮件，手段也越发隐蔽。”

　　2021 年，清华大学和北京大学陆续进行了钓鱼邮件演练。北京大学称：
演练当天，共有 4 万余名师生收到这封模拟 “钓鱼邮件”，54% 的师生阅读了邮件，其中约 5000 名师生点击了可疑链接，约 2000 名师生在后续登录页面输入了用户名和密码。据初步统计，90% 的师生阅读邮件后没有输入用户名密码，表现出北大师生普遍较好的安全防范意识，同时，教师的安全意识率略高于学生。

提高警惕，
不随意点击邮件链接，
不轻易输入账号、密码。
防范钓鱼邮件！

知乎用户祁安发表

妻适市来，曾子欲捕彘杀之。

妻止之曰：“此系反诈演习耳”。

曾子怒：“今子欺之，是教子欺也”。

知乎用户帮我叫份大盘鸡发表

提醒学生防诈意识可以

发邮件钓鱼演练也可以

祝学生中秋佳节快乐当然也可以

但你把这三件事放在一起啥意思？

故意在中秋节恶心人？秀你们校方考虑周到？秀优越感是吧？

知乎用户桃木剑发表

这就应该常态化，还是挺有用的，应该普及。。我在美国这个学校隔三差五就给我们发钓鱼邮件，什么亚马逊到货了，什么优惠信息之类的，五花八门不带重样的，我好多同学都中过招，中了以后就要重新修一个防诈课。。。。虽然我本来反诈意识比较强没点过这些邮件，不过真觉得这种挺有用的，学校天天钓鱼也会淹没掉真正的诈骗邮件，常态化以后那真是看啥邮件都不想点。。。。。别以为大学生研究生哪怕教授们智商足够应付诈骗，这种反诈还是很有必要的，各种大学里每年被骗的人可不少

哦对了，打法也可以与时俱进，毕竟不像美国以邮件为主要沟通方式，很多国内大学生平时都不看邮件，应该整点人没事就加进什么微信群 QQ 群发点诈骗信息，再偶尔打个电话诈骗一下，不用给每个人打，成本太高，只要让他们有这个随时可能被打电话钓鱼的意识就行，只要常态化时间一长，大家对学校这种行为开始厌烦了，接到电话就想直接挂了，那这就算大成功了，毕竟到那时候骗子都没法证明自己是真骗子不是学校的人了哈哈哈

知乎用户不来个 idea 尝尝发表

学校纯属有病，校领导发不出 SCI 就发诈骗邮件，也是科大传统了，画饼嘛

知乎用户第一次改名发表

感觉很败坏 edu.cn 域名的信任度。

大学生，尤其是研究生是比较信任 edu.cn 的域名邮件的。这个是中国教育机构独有的高级域名，是各种邮箱系统的白名单，基本上不会被拦截成垃圾邮件。因为是高级域名，垃圾邮件拦截系统信任它。因为学生的 edu.cn 邮箱号是学校发的，大学生潜意识里也信任它。

能被骗或许只是学生们不熟悉或者根本不记得中科大校名的缩写？

以现在的网络环境和反诈技术，伪造政府邮箱 / 企业邮箱 / 教育邮箱难度很高的，因为有数字签名技术，邮箱的拦截系统能识别到。倒是没遇到过有用 edu.cn 诈骗的，有没有见多识广的大佬们科普一下 edu.cn 邮箱诈骗的案件？以及诈骗成本？

目前，我能检索到的有关 http://edu.cn 诈骗的只有两种情况：① edu.cn 邮箱被盗号了，而且只是普通用户的 edu 账号；②将发件人昵称改 **@http://edu.cn，邮箱号是普通域名，这个属于低级诈骗了。

知乎用户 Read 发表

你反诈没有问题，但你能不能别使用 mailservice @ http://vstc.edu.cn 作为发件人？

虽然我知道你这个 vstc 跟 ustc 不是同一个，但 edu 域名本来就只有教育机构提供相关证明可以申请。

换成 http://ustc.edu.xxxx.com 不更好吗？

知乎用户匿名用户发表

说明了啥，我只知道他中秋节不发月饼，很多学校都发

知乎用户小画小树小河发表

可能一开始没想到得到这么多回应，供不应求了。

真发就变成 “反诈演练” 了。

或者是本来够的，被某些群体抢走了，就没的发了呗。

这种 “事实” 到“谣言”在到不知什么的事情，看 IP 说话，前一阵子见多不怪了。

知乎用户匿名用户发表

看到第一眼：哦，钓鱼邮件应该很明显啊？如果是野鸡发件人直接不管就是了。那为啥会有人中招？

再看一眼问题：啊哈哈，原来是官方钓鱼，是不是用了官方邮箱啊，那可能成功率会高一点吧。

想了想：不太对，如果直接用官方邮箱那还能算是钓鱼吗？那大概是改了发件人。可是这种不应该是会被邮箱直接提示发件人有问题吗？

看一下回答：？怎么科普的这么复杂，而且科普到最后，如果直接套用官方邮箱地址，那好像还是没法避免邮箱的提示啊，这还钓个屁

再看下问题详细描述：

vstc？…… 这么野鸡的名字，如此离谱的后缀，这也能被钓？

再想想：有没有可能用类似的方法伪造一个邮箱，但是让人很难分辨？考虑到大小写的地址等价…… 如果能混淆大写的 i 和小写的 l？

有没有哪位大哥告诉我哪个学校的后缀里有小写的 l？想去钓一下试试看！

解释一下

实际上这种钓鱼者是可以做到把整个邮箱地址全都改掉的，而且看起来中科大肯定不是真的管 vstc 的人开的邮箱账户（没这个必要，为什么不直接修改呢？），具体原理可以看下高赞

而在实际钓鱼的时候之所以没有人直接用官方邮箱后缀，是因为这个会直接被收件方的邮箱服务器查出来发送方的邮箱服务器不对，然后邮件会被直接标注为可疑来源

这个 vstc 只是钓鱼者希望学生眼花看成 ustc，完成冒充而已。因为一旦没注意，这个后缀看起来是一个很正常的中科大邮箱地址后缀。

…… 想了想这种反诈演练还是很有必要的。没有歧视的意思，但是这种东西我自己也确实是通过计网课的实验了解到的，所以肯定会对实际的邮箱地址留个心眼。但是没上过这门课的话，我感觉我也有可能中招吧。再加上我的印象里国内不咋用邮箱，还得再叠加一个使用不熟练的 debuff，确实很容易被用邮件钓鱼。

知乎用户丨乂丨发表

这很好诶，从知识盲点出发，打击薄弱点，从而提升反诈意识。

知乎用户三虎发表

俺也收到了这个电邮信件，

值得一提的是，jetbrains（也就是 iDEA Pycharm 的开发商）把中科大的邮箱域名给拉黑了，导致不能直接申请教育许可证。

所以，是不是因为之前太多的闲置账户被不法分子钓鱼利用了所导致的呢？

电子邮箱被钓鱼，不仅仅损失的是户主个人。如果被用来滥发垃圾邮件，会影响学校整体的声誉，可能整个学校的域名都会被邮件系统误判。

要向广大师生多多宣传个人信息网络安全意识，非常支持！

知乎用户圆韵发表

被中科大圈粉了，虽然有遭受非议的可能，但是勇于创新为学生信息安全着想。

比某些学校整日尸位素餐管理要有用得多。另外中科大学生竟然还攻击演练钓鱼邮件的服务器，能上中科大的学生就是不一般。有一些管理者整体就是会议落实会议，文件落实文件，大谈服从与管理带出来的学生与手下只是会执行指令的机器，而毫无创新意识，服务意识、担当意识、责任意识，不走群众路线非要站在群众的对立面另搞特权层，只准州官放火不准百姓点灯。呜呼悲哉。

知乎用户匿名用户发表

“免费送月饼” 还是仁慈的，这是北京某高校昨天自然基金放榜前的反诈演练，可以说切中要害，很有效果，甚至让人激动了五分钟

知乎用户非线性柚子皮发表

呵呵某地政府辟谣都没人信这种东西还能有人信吗？

知乎用户琛公子发表

给校领导和校长发了吗？怕是没有吧，自欺欺人罢了

每一次诈骗电话能窃取你的个人信息，责任全在美方

知乎用户匿名用户发表

你车大前两天搞钓鱼邮件演练咋没上热搜，反思。

知乎用户 Karl 发表

前段时间我的学校邮箱总是收到各种钓鱼邮件，尤其是有一封竟然是同学的邮件发来的 @mail.ustc 的

于是给网络信息中心发了邮件希望能提醒一下其他同学注意安全_(¦3_ヽ) ュ

本来觉得网络信息中心应该放暑假了，结果那边很快就回复了，说是处理了问题邮箱。我以为不会再群发提醒了，这事就这么结了。

没想到网络信息中心居然如此认真地设计了让人印象深刻的提醒 wwww 真不错呀，给工作人员点赞

（领不到月饼同学可以去领网络安全手册了 2333

知乎用户 ShirokumaQWQ 发表

抠的，不想给别整这出

知乎用户张小飞发表

希望学校履行发放月饼的义务

知乎用户阿银发表

以后收到邮件都要打电话确实了？

知乎用户天真的创新小天才发表

钓鱼邮件里的链接很快就失效了，原因是网安同学的攻击（

知乎用户回家养猪的我发表

有病，及早治～

知乎用户许松山发表

消耗学校公信力。

零几年，某地银行也有一次类似的演练，没有事先通知。从此再也没人相信银行发送的信息。

导致银行客服逢年过节只能一家家的上门送礼。

不去思考信息泄露，却去要求提高意识。

两个字搞笑。

就说隔壁大爷，他儿子一口气冲了 1000 元话费。被移动推销员一个电话骗了 588。

现在上法院要求赔偿了。

知乎用户灰烬之刃发表

96110

知乎用户问学留学发表

大学，是一个搞科技搞学问的地方，是一个严肃神圣的地方，现在作为中国最好的大学之一竟然搞这种乌龙，简直让人笑掉大牙。

国家给你投入这么多，你不好好搞卡脖子的技术，你天天搞这种与学术无关的玩意儿，这不是浪费纳税人的钱吗？中国很多技术被西方牵着走，也没见你们天天做科学实验这么积极的…… 只能说明上梁不正下梁歪，照这样下去，这国家没有任何希望了

知乎用户 Baron Lee 发表

中科大【免费送月饼】是钓鱼邮件

华中大【免费送月饼】是真的送

（只是单纯玩梗，没有引战的意思，勿喷）

知乎用户梦想辽阔清醒发表

发放免费月饼❎

发放网络安全宣传手册✅

知乎用户匿名用户发表

这件让我想到了狼来了的故事，反诈演练的初衷是好的，但是会造成信任危机，我们每天看媒体和网站，觉得犯罪问题不是越来越严重吗？不好意思，那是你的错觉。现代的媒体比过去发达得多，每个人有很多机会听到更多的犯罪，听得多了，就会以为社会不安全，从而减低人的幸福感，反诈演练行为太过粗暴。

知乎用户树人发表

孕育人才教导我们要诚实守信的学校，如今以 “推广网络安全知识” 的方式冠冕堂皇的骗人。推广网络安全是好事，但是不要让国人对网络失去信心，学校都会骗人，跟何款其他社会机构或者是个人呢。学校可以教我们保护自己，但觉不是埋下不信任的种子。

知乎用户 cby 发表

足见广大科大学子对免费月饼的渴望。

众所周知，科大每年是不给学生发月饼的。

前两年的礼盒月饼炒的很热，甚至上了热搜，一度让我成为别人家的学生。作为一个在科大苦熬多年的硕博老狗表示，啊？月饼？什么月饼？我怎么没有发到过月饼？

后来才知道科大的糕点铺有售，价格不菲。呃，排队去店里买个限量月饼有那么值得羡慕吗？

想要免费月饼？来抽奖呀，运气好的送月饼礼盒一套哦~~

哈哈，逗你玩的！！！网络安全 ··· ··· （瞧你那穷酸相~~~ 不是不是…）

强烈建议学校给每个学生发一份月饼，这样才真正有助于防范钓鱼诈骗，给学校避免更大的损失 [doge]。

知乎用户小乙发表

低劣的钓鱼技巧

知道把 ustc 改成 vstc，不知道把后缀的 http://edu.cn 换一个？http://edu.cn 的后缀的可信度比 ustc 高多了好吧

知乎用户紫宸较瘦发表

没啥大影响，戳进邮件一看后缀

.http://vstc.edu.cn，给我气笑了

然后举报，间隔几天收到钓鱼邮件的告知

与先生说起，得知他实验室的师弟师妹当时喜不自胜的点进去

收到告知钓鱼邮件的那天，再 “喜不自胜” 的排队去领反诈手册

操作挺好～

就是吧，钓鱼邮件天天提醒账户过期让我改密码，都懒得戳进去。希望学校给拦截一下。

知乎用户 IchbinJoey 发表

孩子在中科大，感觉这个假发月饼的行为特别娄逼。中科大在不入流城市待久了，行为极其乖戾，就是缺少一线城市大学的那种大方自然

知乎用户费顿发表

学校自己拦不住类似邮件，非要让学生甄别？！

警察管不住犯罪，都让老百姓自我保护？！

这种钓鱼，好无聊！

知乎用户蜗牛发表

先看到同学群里发了，然后才看的邮件，所以没被骗

内心真实 OS：不给我发月饼就算了，还拿这个骗我，虽然形式很好，但纯纯无语住了。。

知乎用户猫七七发表

不要用个官方域名的邮箱发就好，那谁不信啊搞个高仿的确实有教育作用

知乎用户爬上爬下的小壁虎发表

学校就不能花点钱搞个假一点的域名吗？恕我直言，内部域名发的诈骗邮件，真出了什么问题，责任在校方网络中心。

知乎用户 Dr LEE 发表

真的有毒，除了破坏学生对学校的信任没有任何作用，以后是不是学校的任何网站我都不能输入账号密码了？毕竟 http://edu.cn 结尾的也不能信了

知乎用户匿名用户发表

面包房有很多，不贵…

知乎用户 Timal 发表

没啥事，我一个月都不看一次学校的邮箱

知乎用户乐观的水手发表

挺好的，确实有同学中招了。不过我不喜欢学校月饼，看到邮件之后直接划掉了哈哈哈

知乎用户秋月明发表

我觉得没必要，因为没涉及到钱的都不算骗。

个人隐私这玩意早就千疮百孔了，虽然真心希望大家以后多提高个人隐私保护意识，但这玩意在目前的环境下真的防不胜防。

还是多管管骗钱的吧。

但问题是，如果骗钱了，这个演练的界限就不好分了。

唉，初心是好的，还是多理解理解吧。

知乎用户知乎键圣发表

作为因为没来得及看邮箱而躲过一劫的大一新生，我深深感谢学校的良苦用心 (๑ ๑)

知乎用户中科大学生 MXY 发表

你说的我都知道了，那么我的月饼呢？

知乎用户 ReverseCruise 发表

仍是诈骗行为。难道是中科大发的就不是诈骗了？如果当真了而耽误中秋节买月饼谁负责？另外如果当成真有免费月饼而主动提出送单位领导一份月饼（比如中科大某职工要送中科大校长一份月饼），一看邮件是假的而提议已经说出口而不好反悔了，那这个诈骗的受害者自己损失了一份真月饼吗？

知乎用户技术侠发表

我看到了 “仅限在校师生参与” 这几个字，纠结了一会儿要不要参与，最后实在没忍住诱惑就点进去了。输完学号后页面没有跳出密码自动填充的选项，我懒得手动输入就直接放弃了。。

知乎用户 zhcarry 发表

上了一课

所以学校不发月饼吗（恼）

知乎用户陈末试京发表

我也收到了

知乎用户昵称显示错误发表

哈哈哈有意思，给中科大点个赞

知乎用户没问题发表

MD 送的月饼明年都吃不完，诈骗的还想送

知乎用户 ZGG 发表

妮可大一新生表示不喜欢吃月饼

知乎用户君子谦谦发表

中科大这种行为很值得提倡！我觉得高校都可以学起来，因为现在大学生绝对是电信诈骗的 “重点关注对象”，像我上大学的时候，我们辅导员说天上不会掉馅饼，别那么傻，一定不要相信一些钓鱼信息，那么的大人了长点心眼儿。导员恨不得嘴皮子都快磨烂了，就那照样有学生上当受骗，隔几天就听说谁被骗了多少钱，那谁又怎么怎么了。

而中科大用这么接地气的做法，知道快中秋了，也知道学生一般都对学校发的信息没啥警戒心，就发了这么一封月饼邮件，没想到这么多学生上当，但不得不说有一些学生还是挺聪明的，竟然反黑回去了，这波操作就挺 6！

所以说不要以为上当离自己很远，就记住天上不会掉馅饼就行了！哪会有这么多好事落在自己头上！

知乎用户挽月发表

如何评价？吃瓜呗

很开心这个事情上热搜，正值网络安全宣传周，借此就科普一下吧

常见的钓鱼邮件类型有

安全警告
快递单号
快递已投递
抽奖
紧急通知
更改密码通知
异常行为登陆警告
休假政策调整通知
突发新闻
员工医疗信息更新通知
验证密码通知
立即采取行动通知

钓鱼邮件防范指南

**加强防范意识：**勿点击陌生邮件的附件和链接，邮箱务必要开启手机短信二次验证。

**提高甄别能力：**重要部门的通知不会只通过邮件的形式传播，一般会再进行电话确认。注意甄别发件箱是否确为发件单位的邮箱，即使发件邮箱真实准确，也要先电话联系发件方，确认邮件的真实性，排除发件邮箱被不法分子控制的可能。

**使用企业邮箱：**对安全标准要求高的单位和个人，建议使用企业级邮箱，这类邮箱能够有效过滤垃圾邮件或钓鱼邮件，强制使用复杂登陆密码，并对登录情况进行详细记录，让你及时发现邮箱是否存在异常使用情况。

**注意信息保护：**勿在联网的电脑上处理重要或涉密信息，不使用纯数字、纯字母等过于简单的邮箱登录口令，务必要使用十二位以上，由数字、大小写字母和特殊字符组成的复杂密码，并定期更换密码。

知乎用户秧秧发表

知乎用户煌熇发表

今天玉兔食堂门口有大量节日礼物免费发放，那些阴阳学校吊胃口的回答好好了解下。

至于为什么这么做，应该是今年新生开学有不少科大学生被骗，个别金额较大。

知乎用户 King 发表

武大郎表示月饼还是要发的….

知乎用户匿名用户发表

作为有过一点 IT 行业网站编辑运营经历的过来者，我们当年对病毒软件的钓鱼方式就十分注意了。我把经验在这里列举一下，供参考：

1）邮件中直接提供链接的不要直接去点击。最好不点击，实在想点击也是复制 URL 地址到浏览器中打开。

2）钓鱼链接经常是有一个比较大而美的名字，例如国家政府机构、学校、运营商等，但是链接地址却不是官方地址，是一个私人的、显得不正式的 URL 地址。

3）邮件中经常让提供个人敏感信息，如银行卡号、身份证号码等，这个是不能提供的。实际上，支付宝、微信支付这 2 大转支付和直接支付中间工具已经足够应付很多问题，也相对安全。

4）奇怪的、陌生的或者是有不良行为备注的电话号码不接。

5）多和朋友沟通，社交圈一定程度可以帮助自己做出正确的判断。

知乎用户清风姐姐发表

在某公司做邮箱安全的工作

这些都是很基础的功能，用我们的系统，管理员可以一键编辑钓鱼演练，并在事后收到相关的数据。

平时用户的邮箱里，如果识别出钓鱼邮件会直接屏蔽，尤其是伪装发件人的是会给非常高的钓鱼权重的。就算有漏网之鱼，如果是外部的邮件会有明显标识，同时针对每个链接本身也会有额外的扫描，这些都是基础的功能。尽管如此，我们还是经常会有客户的邮箱被黑，很多用户会在系统明确提示钓鱼链接后强行访问。

所以管理员应该有正常情况下用户就是会被黑的预期。一般来说，我们发现用户被黑之后，也是会要求他们打开双重验证才给解锁。

但是对于普通用户来说，还是应该自己靠谱一点，注意安全，否则等你们的管理员决定配置零可信策略的时候就哭吧。

知乎用户匿名用户发表

发件人邮箱是官方邮箱的话，换了我，我应该信以为真了。但是如果要填写提交个人信息这些，我会谨慎，毕竟，天下没有免费的午餐吧。

有一次收到的工作邮件，是仿某个平台的官方链接，只能说多亏的网络杀毒软件，我以为是官方发的信息，点击链接才提示非官方链接，赶紧停止访问了。这些网络骗子，能做到以假乱真的程度，证明也是很有能力的呀，怎么还想靠坑蒙拐骗赚钱呢。搞不懂。

知乎用户晚漫发表

广撒网总有鱼上钩，难怪电信诈骗只能尽力防范。

知乎用户 JSS 发表

不贪心就不会被骗遇到好事你先自问一下配不配

知乎用户爱吃肉的小青发表

经得多见的广，实践是检验真理的唯一标准，实战与理论还是有区别的。演练就是实战的基础。

知乎用户 result 发表

检验智商的时刻！

知乎用户加菲发表

这是很有效的安全教育课程！

知乎用户怀揣梦想的小鲸鱼发表

真实小白第一反应：

不可能！一定是假的！科大从来没那么大方过！！要发也是给本科生发，什么时候这种好事轮得到我研究生？！！

知乎用户想不出昵称发表

谁说学校不免费送月饼的

中区中秋节当天食堂送月饼

虽然限量哈哈

知乎用户匿名用户发表

还好我没来及注册邮箱躲过一劫，要不我也去抽奖了。。。

话说明早食堂门口送月饼靠不靠谱，有没有 hxd 蹲守的。

知乎用户白小白发表

狼来了？

知乎用户步步发表

公司负责安全的，每个季度都会发送这样的钓鱼邮件，任何点击链接的都会被邀请参加培训。

知乎用户海浪 001 发表

看了下邮箱确实有

知乎用户拾穗乃智发表

知乎用户张琦鑫发表

不发也就算了，还整这么一出，真无语。

要不是同学发我都没看邮箱。

知乎用户匿名用户发表

中秋佳节以月饼消费教职工和学生的朴素情感，不建议这样做。

但如此防范宣传，值得提倡。

知乎用户翩然发表

可以提高大家的防骗意识，但同时也会有 “狼来了” 的隐患吧。

会不会有一天学校发了邮件，比如通知紧急核酸吧（紧急通知，有些细节没弄好）。学生一看，竟然有错别字，假的；行文风格不一致，假的；发件人竟然在校外 (周末)，假的……

好容易发邮件的老师把以上问题解决了，学生一看，这么完美，学校的防诈骗演练越来越逼真了…… 学校通知，某处联系方式变了，学生反应，休想骗我，我不会上当的。

如何防范电信诈骗呢？

根本方法是：

1、所有人的素质都很高，没人诈骗，不现实

①加强宣传引导，使浪子回头

②加上处罚力度，使浪子畏惧

2、所有人火眼金睛，让骗子无所遁形，不现实

①加强宣传，演练啥的 (又回去了，唉～)

但是会不会被骗子学到新方法呢

知乎用户半枫荷发表

绝了这手操作。。。。。

知乎用户小明乐发表

演练水平高一点，最起码能不用官方途径发邮件嘛。

要不以后收到官方什么通知都可以用怕是诈骗邮件来搪塞你们了。

知乎用户匿名用户发表

怎么我收到的只有健康打卡提示？

知乎用户 Vendetta 发表

演练很有意义。可以看到类似演练很多机构和大学都曾实施过。

愿大家不生活在一个控评的世界，少些诈骗和试探。

知乎用户匿名用户发表

毕业这么多年，换了几次工作，几乎每家企业每年都会有这样的演练。

为什么前些年没人关注，这两年会有热度？值得深思。

知乎用户 bjaz 发表

泻药，我舍友中招了

被我笑话了一整天

知乎用户 Amor0620 发表

这反应了一个很严重的问题，科大至今还没有免费月饼可领（）

知乎用户匿名用户发表

没有月饼就算了，还要来钓鱼，真的会谢……

知乎用户撷一撇心下的月光发表

气氛都到了，这波学校什么时候真送月饼？

知乎用户匿名用户发表

很多人不知道现在正值网络安全宣传周，而且近期还有大量国内大型企业遭受钓鱼、勒索攻击，我国目前面临的安全威胁越来越多，虽然央企政府经常会常态化参与攻防演习，但高校这块安全防护做的还是很薄弱，但是很多高校承担了国家重点科研任务，就成为了境外 APT 组织的重点攻击目标。西工大就是前车之鉴，遭受来自美国 NSA 的定向攻击，其中的攻击手段就有钓鱼邮件攻击，中科大作为国内重点院校和科研单位，组织钓鱼演习非常有必要。值得其他高校借鉴！防诈的最好方式就是被骗一次，下次如果中科大被境外 APT 团伙钓鱼我相信中招的会少很多很多。

知乎用户 shadow 发表

中科大这个行为是实实在在践行了一个教育者应尽的义务！

大家都说学校是象牙塔，保护学生的温室。但是温室的花朵在野外是没有办法的独自生存的。中科大打破了这个象牙塔，这个行为是非常可取的。我们应该鼓励学校多进行社会教育，让学生尽早接触社会，知道社会生存法则。

这样才能增强应届毕业生的竞争力，提高今后的工作能力。

知乎用户江苏求学圆梦行动发表

想起了当年阿里因为月饼丢了工作的员工

知乎用户 Moony 发表

中奖率 3500/45000≈7.78%，而且都是受过高等教育的，不过用了契合属性的校方邮件通知，排除掉这个因素上当比例应该会下降几个点，扩散到全社会的话，不知道有多少。

知乎用户火树发表

我感觉我发现这个是钓鱼邮件的过程跟大家以及网络中心提醒的不太一样，我在 iPad 上打开邮件的跳转链接，浏览器自动打开后没有自动填入账号的选项，我就觉得不对劲，然后输入密码也没有提示输入验证码（非科大网络下需要手机验证码），再仔细一看这个界面怪怪的，没有对齐，边界也不完整，最后我才发现这个域名从来没见过。

所以要不是钓鱼中心做这个网站的时候没用心，我可能也发现不了

总之是个不错的演练，说实话看到有这么多人上当还是有点意外，毕竟还有很多人很少看邮箱，比如我舍友。经常听到有人被骗几千甚至几万，感叹有钱人真多的同时也为他们默哀，多来几次这样实际演练比喊口号好十倍

知乎用户匿名用户发表

如何评价：大力支持。

你这时候可以骂其浪费资源什么的，等又有一天，或许某一天，你真的收到了电信诈骗且相信，在最后一刻感觉这似曾相识并及时止损的时候，应该会感叹自己的聪明才智，忘了曾经骂过的人

知乎用户知乎用户 97861 发表

脑子不聪明的人，再怎么演练也没用

知乎用户珊珊发表

这不很正常，公司天天发钓鱼邮件，常规操作

知乎用户是岑不是陈发表

还好，在收到钓鱼邮件之前，我收到了真的诈骗邮件，所以免于被钓

然后留心了一下域名，vstc 是个什么鬼

知乎用户 BFL 发表

本次钓鱼邮件演练中，我们精心设计了几个常见的钓鱼 “漏洞”：

1. 仿冒的发件人地址：“vstc.edu.cn” ；

2. 不存在的科大部门：“中科大邮箱管理中心”；

3. 伪造的统一身份认证登录页面：非科大域名；

4. 错误的联系电话：非 6360 开头。

拿着 N 多学生的资料打了一个诈骗广告。

变相默认这些学生个人资料已经泄漏了，望各位学生醒悟下。[doge]

最好的防御是找不到个人资料，要么官方号不会泄漏。http://edu.cn 拿出来钓鱼没想到。 [doge]

评价：mdzz

知乎用户匿名用户发表

渣渣，应该直接用学校的域名模拟境外网红攻击行为下的诈骗。这种真的就是一看就知道的事也就骗钱，被骗了机密信息你就哭吧。

知乎用户匿名用户发表

噗嗤哈哈哈哈，这个学校的防范意识教育很强，我认为很多大学可以参考这种教方式，一方面可以锻炼学生的防钓鱼意识，一方面很有创新，正好贴近学生的临近中秋的需求意识，很不错的想法。基本这个活动除了大三大四上的比较久的比较清楚，像大一新生很容易中招。

知乎用户 ICE - 炯发表

天上不会掉月饼 w

知乎用户 Eric Yu 发表

看见标题本来是想喷学校有病

点进图才意识自己的反诈意识这么弱如果我自己绝对会成为填了信息的 3000 分之一

学校干得好这种演练摩多摩多

知乎用户 Animal279 发表

正当也是必行

免费得来的东西一定是最贵的

现存的钱同时也不是自己的，一定会以一个形式转移走

如此数量的白嫖党就意味着文化普及率还不够高

社会上的白嫖且伸手党太多，尤其学生将互联网省钱多渠道如数家珍

殊不知自己已经深陷泥潭还在那夸夸其谈

真是可悲

身边人总是这个砍一刀那个优惠券这个抢福利

这种低级的甜头一次都不想吃

这种小便宜没够的人真的遭人唾弃

知乎用户最后的柏拉图发表

请水军便宜还是发月饼便宜

知乎用户 theodore 发表

这不搞心态嘛？搞完这个该发的月饼该发了啊，安抚工作要做好

知乎用户是只月野兔吧发表

我个人估计是因为前段时间的西工大事件作为前车之鉴

知乎用户 Tempo 发表

所以呢？真月饼发了吗？

知乎用户 skylee25 发表

首先觉得这是有必要的，提高警惕性

但更觉得有问题的是：现在域名注册都精确到了实名认证，为什么不加大惩戒力度，反而让互联网的信任一点点的降低，最后官方的账号都不知道是不是真的

知乎用户 rich 发表

老陈行为

知乎用户知乎用户 hbUgxr 发表

带头钓鱼

知乎用户良年华发表

大家让让，这道题我会

打开邮件，点开链接，即可领取免费课程

知乎用户妖童发表

钓鱼网站不知道你的密码，也就无法真正的通过验证。可以随便输个密码，如果它显示通过验证，则说明它是钓鱼网站。

当然钓鱼网站也可以始终提示密码错误，诱导你多次输入密码。

知乎用户略游发表

全校首次钓鱼邮件演练，笑死个人了……

知乎用户国士爱无双发表

很有必要，我妹妹目前大学生，被骗一次，就是简单的淘宝客服说退货退钱，被骗的卡里都没钱了，找我爸说怎么支付不过去了，才发现被骗了，我爸妈就在客厅看电视。。。

成年人会好很多，毕竟我现在一个月都接好几个诈骗电话，已经练出来了，甚至有次银行工作人员给我打电话，我还以为是诈骗。

很多诈骗都是有个人信息的，从姓名到身份证号，甚至是卡号，淘宝交易信息等等，APP 或者网站还做的有模有样的。

知乎用户 Jessica 发表

闲的没事干

知乎用户粉红的爹发表

本次回应是不是也是演练呢？

知乎用户 tong pan 发表

诈骗还这么扣？送月饼

知乎用户涂抹式神发表

所以到底什么是特色月饼，能给我看看吗？

——南七 07 界学生留。

知乎用户 Phlypig 发表

你演练完是不是该真送一下? 不然是来恶心人的?

知乎用户匿名用户发表

如何评价？之前在公司被钓过鱼，然后犯错误的同学要参加统一的信息安全考试。。。。

知乎用户 Kris.zhang 发表

为啥不骗我！咋的，我不是鱼吗？生气！

知乎用户取次花丛懒回顾发表

http://edu.cn 结尾的域名都能被注册用来钓鱼，看来以后咱们国家的域名审批机构都不可信了

知乎用户天剑羽发表

跟同组的同学在吃饭的时候收到的，他不幸被钓了，笑死

知乎用户 Mr.Hang 发表

中秋节别人晒的：

精心包装的校名月饼

中科大同学晒的：

精心包装的骗局

知乎用户匿名用户发表

这个 vstc 才是亮点吧…

知乎用户超盐酸钠发表

然后这个官方制作的钓鱼网站直接被科大一群崽子给攻击瘫痪了

知乎用户 Murphy0377 发表

表示周围同学很少有人被钓鱼成功的。哈哈哈，刚刚成为网安学院校友的在外地还被学校惦念。

知乎用户堂堂唐发表

http://edu.cn 呵呵

知乎用户雨散画檐时发表

要不是先看见朋友圈说上当了，估计我也会上当。因为学校总是在宣传月饼 ……

给大家看一个后续吧

知乎用户啊咿啊咿喔发表

别说了，赶紧去领取安全宣传手册。

知乎用户 xingxing 发表

这么大的样本，社会学研究专家可以写好几篇论文了

知乎用户 freeeeeee 发表

985 高校就是好玩，不像我们，免费月饼没得发，还得封校放中秋假…

知乎用户月亮不营业了发表

嗯，我就是那个被钓的鱼：（

以后老师，助教发 email 我都要审几遍了

知乎用户宇智波派大星发表

挺好的啊，这不就和消防演练一个目的么？

多多开展，不能让台湾人赚这种骗人钱。

知乎用户 styshoo 发表

妮可什么时候邮件抽月饼?

要么班里发，要么自己领，要么就没有，而且我有充分理由怀疑，真限量说不定按绩点排名发（）。

不过昨天倒是很多人都在群里问真假，先 vstc 一眼假，上面说自己拦截失误伪装骗子，然后又有消息说这是校方钓鱼，然后又翻转说骗子在第五层……

多少有些魔幻了。

知乎用户 xhwi 发表

被钓到的基本都是新生，经历过一次抢月饼就应该知道学校不可能免费送了。

知乎用户 Gump 发表

只有我觉得学校很可爱嘛?

知乎用户菠萝发表

《狼来了》

从前，有个放羊娃，每天都去山上放羊。

一天，他觉得十分无聊，就想了个捉弄大家寻开心的主意。他向着山下正在种田的农夫们大声喊：“狼来了！狼来了！救命啊！” 农夫们听到喊声急忙拿着锄头和镰刀往山上跑，他们边跑边喊：“不要怕，孩子，我们来帮你打恶狼！”

农夫们气喘吁吁地赶到山上一看，连狼的影子也没有！放羊娃哈哈大笑：“真有意思，你们上当了！” 农夫们生气地走了。

第二天，放羊娃故伎重演，善良的农夫们又冲上来帮他打狼，可还是没有见到狼的影子。

放羊娃笑得直不起腰：“哈哈！你们又上当了！哈哈！”

大伙儿对放羊娃一而再再而三地说谎十分生气，从此再也不相信他的话了。

过了几天，狼真的来了，一下子闯进了羊群。放羊娃害怕极了，拼命地向农夫们喊：“狼来了！狼来了！快救命呀！狼真的来了！”

农夫们听到他的喊声，以为他又在说谎，大家都不理睬他，没有人去帮他，结果放羊娃的许多羊都被狼咬死了。

知乎用户 Augenstern 发表

点进去的给本诈骗书，没点的呢？有这时间不如多做些月饼，搞什么饥饿营销？给一些提前预定一堆然后高价卖的人提供原材料吗？诈骗演练实说明学生被月饼饥饿营销诱惑的现象能被看到，解决办法呢？

知乎用户永远少年哦发表

恕我直言，是被工大的月饼炫哭了，哈哈哈。

知乎用户假学生发表

月饼没有，手册大大的有

知乎用户 sherllinic 发表

我觉得，公共机构不能利用成员的信任，来反对成员的信任，不论其目的是好是坏。不然的话，不仅逻辑上说不通，而且可能涉及道德伦理问题。

让我们换一个场景。

老年人倒地碰瓷是高发诈骗行为。某地为了预防该类诈骗，由公职人员假扮倒地老人，借机 “讹诈” 过路市民，以此提高市民的防骗意识和甄别能力。

这是否有点过了。

知乎用户托里拆利的水银柱发表

挺好的事情。

演练了，就会有防范意识了。

知乎用户 KOKOAR 发表

防范秘诀: 天上不会掉馅饼，天下没有免费的午餐就能

知乎用户谢小刚发表

我比较关心能不能给阅读了邮件，但没有受骗的师生发放月饼作为奖励

知乎用户思维之火雕玉为灵发表

竟然还要用 http://vstc.edu.cn，一般来说诈骗邮件不是可以真的用 http://ustc.edu.cn 吗（伪造源地址技术），只不过就是会不会被 ustc 的邮件网关拦截的问题。。。

知乎用户个人信息已虫豸发表

反诈演练效果不效果的，另说。

就想问，哪儿有免费的月饼抢？

我要冲。

知乎用户堇力力力发表

我一看抽奖俩字，觉得自己中不了就关了。所以莫名其妙的没有中招。。。

知乎用户匿名用户发表

你就说是不是学校官方发的吧 (狗头保命)

知乎用户讲什么道理嘛发表

关键这几天也该发月饼了，点一下，也没啥

知乎用户噗噗发表

「反诈演练」在一定程度上的确能提高安全意识，有效的做好学校防范电信诈骗的宣传。

知乎用户衍夏成歌发表

乐

知乎用户 Jackyssa 发表

谨防诈骗，提高宣传。

知乎用户秦风发表

干得漂亮！纸上得来终觉浅，绝知此事要躬行。

知乎用户 filanever 发表

整挺好，现在诈骗犯真的是诡计多端，防诈演练很有必要

知乎用户谁说的对发表

想起某个公司的骚操作了，也是这种钓鱼邮件。

第一次发正常钓鱼邮件，但不同的是在有人中招之后，再追加发一封安全培训的钓鱼邮件。

然后不少人在培训邮件里面又中招了。

然后把第一次的人培训完之后，又中招的又拉去培训了一遍。哈哈哈哈哈。。。。

知乎用户龙二傻发表

所以发不发月饼

知乎用户风暴之灵发表

这想法挺好啊，昨天我在某写作 XX 公众号上留言，声称前 100 名可中礼盒，然后我就没有得到回应，我现在都怀疑我关注的公众号是不是也在钓鱼呢。

知乎用户鲸奇发表

知乎用户鲁米诺发表

估计被骗的人这么少应该是因为大家都不怎么看邮箱

说实话第一关的邮件地址看的人真不多

最关键的是第二关的统一身份认证那个页面

除了地址，和真实的是一摸一样的

这应该才是很多人觉得这邮件是真的的原因吧

所以就输了账号密码中招了

（还好我没管这个邮件

知乎用户 Timenumber 发表

知乎用户北惊人发表

根本骗不到，我懒得看邮箱，没想到吧

知乎用户 2552 发表

真的发了吗最后，没发就测你吗。

知乎用户依法治国周伟明发表

我对学校官方的信任啊但问题是邮件里面还要提交个人敏感信息所以毁誉参半吧确实大家太信任学校了我们自己也有问题涉及到一些信息要填这些信息远远超过要领月饼的流程

后面说一下学校月饼真不错好多人没有预约到所以也不能太怪大家

知乎用户释熵者发表

当时看到邮件，想了一秒钟不在本部的我跟这个活动有什么关系。看到链接要登录信息觉得不大对，毕竟我从 http://i.u___.__u.cn 登录，各校内网站的信息都不用再登入的，点开链接一看是个 error，立刻关掉抛到脑后忙自己的事。

今天看到原来是这么回事，乐。

知乎用户月城发表

不只是中科大呀昨晚刚发的邮件中招者还在群里挂了一天。。。

知乎用户勇往直前的船夫发表

点了你不给，不就是你诈骗

知乎用户天边那一小撮发表

先看到的解释邮件，再看到的钓鱼邮件

知乎用户吃喵酱的喵喵发表

不得不说，外企对于网络安全的重视程度要高于我们。家人在外企工作，公司会不定期的给员工邮箱发送钓鱼邮件或者类似诈骗邮件。如果员工不对该邮件举报或者进行了操作，就必须参加公司的安全培训，以此强化员工网络安全意识。我们国家无论是在网络安全教育还是国家信息安全教育方面，感觉还是做的不够，宣传力度有点小，所以平时总会有一些新闻爆出来，有些人不知不觉中像国外透露一些国家机密信息，甚至以此获利。

知乎用户可乐鸡翅发表

支持。精心设计的骗局，针对细节做了模拟，假骗胜真骗。

学生们的反应也很好，有的反攻了网站，有的报到 QQ 群，组织集体反攻网站。

看到学生有这样的反应，社会也多了一分安全

知乎用户裂变增长赵大伟发表

挺好的，吃个亏才能涨记性，亏个几万都没关系，最重要的是能涨记性，社会没这么友好

知乎用户逝风发表

我们公司之前也有发这种钓鱼的，也有人中招点连接，然后被拉去上课

知乎用户白玉狮子滚绣球发表

这样容易失去民心的，我看完后，直接提桶润出去

知乎用户超越永无止境发表

我们班在知道这事后全都兴冲冲地跑过去登录打卡了………………

知乎用户 tse 发表

反诈中心我都不信，兄弟们我反诈这意识强吧

知乎用户 vv 笑凡发表

太明显了，邮件域都是假的，真正认真看的人一眼能看出来有问题。

下次来真的，直接给你邮件代发，第一眼一看发件人是没问题的，中招的人更多。

知乎用户贺兰星辰发表

还是咱厂太好，真的发通知送月饼

知乎用户游迡发表

顶级拉扯

知乎用户还是差一点发表

这不就是某些公司的日常操作吗，况且现在的学生没那么好糊弄。

知乎用户 helloya 发表

钓完鱼了，月饼还发吗？？