杜克大学信息技术办公室报道,上周四,杜克社区遭遇了 2020 年以来最严重的电子邮件钓鱼攻击。根据 OIT 最近的通知,这些欺骗性信息要么警告学生有关其杜克帐户的“警告”或“紧急警告”,要么提供虚假的联合国儿童基金会工作或远程工作机会。
杜克大学 OIT 首席信息安全官理查德·比弗 (Richard Biever) 表示:“这可能是我们自 2020 年左右以来遇到的最具影响力的网络钓鱼攻击。”
不幸的是,一些人提供了他们的信息,使得攻击者能够接触到杜克大学系统内的数千人,正如通知中提到的。
由于担心这可能会导致另一个骗子尝试再次发起攻击,Biever 选择不透露此次网络钓鱼攻击所涉及的电子邮件的具体数量。
他进一步提到,OIT 的反网络钓鱼系统上个月成功阻止了 6500 万封欺诈性邮件,占杜克社区所有来信邮件的 62%。
比弗强调说:
“网络钓鱼仍然盛行,因为它很有效,而且不需要付出 电报数据 很大努力。”诈骗者可以很容易地一次发送数千封电子邮件,而个人仍然会成为点击恶意链接的受害者。
上周的攻击分为两个阶段。首先,攻击者从非杜克大学的电子邮件地址发送虚假警报,警告收件人可能失去杜克大学账户的访问权限。然后,担心的收件人点击提供的链接并输入密码和代码。
在攻击的第二阶段,犯罪分子利用窃取的密码和代码从杜克大学的电子邮件地址发送了一系列欺诈性邮件。这些邮件声称提供工作机会,并精心设计以从收件人那里获取财务信息,从而将他们牵连到更广泛的骗局中。
Biever 认为,这些欺诈活动可以比作“众包洗钱”。如果学生因披露财务信息而成为这些骗局的受害者,则存在“学生可能被追究其账户资金责任”的风险。
电子邮件钓鱼和欺骗性信息的情况在杜克社区中并不少见。
2018 年,《纪事报》记录了一起针对杜克大学 233 名个 可监控网络和社交媒体上的品牌提及 人的网络钓鱼事件。据比弗称,随后,该社区又遭遇了多次攻击,其中最严重的一次发生在 2020 年。在 2020 年的入侵事件中,一个名为 Chegg 的第三方学术援助平台的系统遭到入侵。许多拥有 Chegg 账户的杜克大学学生重复使用了他们的杜克大学密码,从而危及了他们的大学账户。
其他学术机构也发现了类似的欺诈行为,匹兹堡大学和威斯康星大学麦迪逊分校也报告了类似的问题。
如何保护自己免受未来的网络钓鱼攻击
学生有多种方法来保护自己免受此类攻击。学生必须谨慎对待任何要求提供密码、安全代码、安全问题、多重身份验证 (MFA) 代码、家庭住址、手机号码或银行账户详细信息的电子邮件。
任何可疑消息都可以通过“报告网络钓鱼”按钮报告给杜克 OIT 安全团队。学生可以选择参加帐户安全挑战,其中包括注册接收定期的网络钓鱼模拟消息以评估他们的能力。Biever 还建议使用 Face ID 或 Touch ID 配置 Duke Unlock,并从 Duo MFA 的 SMS 代码转换为使用 Duo Push。
比弗表示,主校区和杜克大学健康系统安全团队都 沙特阿拉伯电话号码 对这一情况做出了非常好的反应。“情况本来可能会更糟,”他表示。“我很遗憾发生了这样的事件,但最终,它增强了我们社区的智慧、力量和整体改善,”比弗评论道。