北京一高校发大赛通知引骗子，学生因缺审核机制被骗

学生扫描学校官网所发布的钉钉群二维码，本想着能便利地进入课程群，然而却没料到这个未经过审核的入口，致使诈骗分子也轻易混入，最后使得多人陷入了精心设计的骗局当中。

网络安全责任归属

学校为便利学生，把钉钉群的二维码径直公开于官网上，此种做法的初衷大概是提升效率。然而，把内部沟通群的入口全然公开于互联网，就好似对着所有人打开了大门，忽略了藏匿其中的安全隐患。任何瞧见网页的人皆能扫码进群，校方并未设立诸如核验学生身份、审核入群申请等基础的安全防护。

在这起事件里头，官网所发布的群二维码，吸引了140多名成员加入进来，这些成员全都认为这是学校的官方渠道。群组原本应该是师生在内部进行交流的安全空间，然而因为缺少入群审核，诈骗嫌疑人能够伪装成学生或者家长，轻轻松松就潜入进去了。群主以及管理员，对于此事负有没办法推卸掉的直接管理责任。

诈骗流程精心设计

有三名嫌疑人，潜入了群聊，之后马上利用了钉钉软件的会议功能，另外，他们分别创建了三个在线会议室，并且向群内的同学们发起了一对一的语音通话邀请，众多学生未曾怀疑，直接接听了来自“同学”或者“老师”的语音邀请，诈骗这样的第一步就完成了 。

接连通电话后，那一方假称自己为负责赛事报名相关事宜的教员，跟学生讲要进一步去认证个人相关的信息才能够达成报名的操作，他们指引学生去开启学校的微信公众号，并且向学生提出要在公众号里填好详尽的个人相关资料，这一个步骤致使学生错误地认为操作依旧处在学校的官方流程这一范围之内，从而使得警惕性有所降低。

信息套取步步为营

在让学生来填写有关信息这般事项以前，有诈骗分子凭借着“方便去进行指导操作、同步相关信息”当作借口，使学生打开电脑或者手机的屏幕共享功能。一旦学生依照此去做了，那么其屏幕之上全部操作，涵盖所有输入进去字符和打开页面等，都会被骗子进行实况监控。这就替以后得以窃取关键信息铺就了道路。

于屏幕共享开启之际，学生依据指示 ，于那被称作“官方公众号”的页面之中录入了自身的姓名、学号、身份证号、手机号码等敏感信息 。骗子在屏幕另一端将一切看得是清清楚楚 。紧接着 ，对方又提出要缴纳报名费或者材料费 ，要求学生输入自己的银行卡号 。

关键信息瞬间泄露

当处于共享屏幕状态的学生，把自身银行卡号输入进指定栏目之际，其完整银行账户信息已然毫无遗漏地暴露给了诈骗分子 ，在获取身份证、手机号以及银行卡号这三要素后，骗子事实上已掌握远程登录该学生银行账户大部份钥匙 。

就在这个时候，距离成功实现转账仅仅只差最后一道起着关键作用并起到防护效果的防线了，这道防线就是由银行发送过来的具备动态变化特性的验证码。于此同时，骗子马上开始了一系列操作行为，着手尝试登录学生所拥有的网上银行或者所使用的支付平台，进而开展转账的相关动作。而在学生所处的这边状况下，对于正在悄然发生的账户遭到非法入侵的情况甚至是毫无知晓，依旧还在顺从地听从“老师”下达的下一步指示。

话术操控完成最后一击

将银行转账验证短信发给学生手机之际，诈骗分子运用了配套话术予以误导，告诫学生：“课程注册快要成功了，系统会发个验证码，你得在屏幕上共享出来，好让我们帮你做完最终确认。”好多学生看到短信内容分明是“转账验证码”，却鉴于对方的严厉催促以及恐吓，从而选择了服从。

甚至还有这样的情况，当那些学生表现出迟疑犹豫的时候，骗子会非常严厉地发出警告，声称要是操作失败了，将会对其学业记录以及未来升学产生影响。在这样的心理压迫状况之下，有一部分学生哪怕心里存在着怀疑，可最终还是把验证码念出来了，或者在共享屏幕上展示出来了。一旦骗子获取到验证码，就马上完成了转账操作。

防范措施与应对建议

这起事件显示出群组管理存在严重的漏洞，群主以及管理员需要承担起安全管理的首要责任，要对进入群组的成员开展身份核实工作，还要及时清理有嫌疑的人员，与此同时，应当明确群组的规定，禁止在群以内发布任何涉及收费、转账的信息，所有官方通知务必通过线下或者经过严格认证的线上渠道来发布。

身处学生和家长之中需要牢牢记住， 任何索要银行卡密码、短信验证码的行径都是诈骗行为，当碰到以学校名义收费的状况时，一定要借助官方公布的联系电话或者线下通路去进行核实，一旦察觉到被骗，就要毫不犹豫地保存聊天记录 转账凭据等证据而且报警 。

于平常的学习生活期间，你有没有碰到过像“老师”或者“学校”发出来的、致使你觉得有点可疑的通知亦或是要求呢？你是怎样去判断以及应对的呢？欢迎来分享你的经历还有看法，要是认为本文存有提醒作用，也请点赞以使更多人能够看到。