没错，我被一封钓鱼邮件诈骗了，而且被骗的非常成功。不过庆幸的是，这是学校的一次网络安全周的邮件宣传活动，对我实际上没有什么损失，反而收获一次教训。但因为很久很久没有被诈骗过了，这次「上当」了确实心有不甘。痛定思痛，决定简单写一篇受骗反思。

上一次被钓鱼诈骗

这并不是我第一次被钓鱼网站诈骗，上一次被诈骗还是我 11 岁的时候（博主今年 23+ 了哈）。那时智能手机还不流行，我就拿别人的手机玩上古版本的 QQ。不知道是不是想领一个游戏礼包，点击链接跳转到了类似 QQ 登录界面，然后输入了 QQ 号和密码完成受骗过程。钓鱼网站的 QQ 登录肯定是登录不上的，第二天 QQ 就被盗了，盗号者疯狂在我的 QQ 空间里发布 🟨 信息，小小年纪就体验一把社死的感觉 😭。

最后被盗 Q 号是找回来了，心态也很快平复。不过由于事情影响在被盗的第一时间我换了新 Q 号。在各种因素的影响下，新 Q 号使用至今（可惜了之前的 9️⃣ 位数 Q 号），这算是其中最深远的影响了吧。

学校的「钓鱼邮件」

下面就是我的「上钩」经历。在一个平静的白天中，我正在上课，摸鱼之时看手机收到一封邮件。

看了大概意思是这几天内改一下邮箱密码，有截止时间要求。而且想到我已经毕业，邮箱在验证上可能有需求，并且确实出现异地登录情况。

没细想，我就把它加入我的待办事项中。从此，脑袋里就留下一个「限时任务」的印象。

几天后，晚上临睡前，手机无意看到待办事项，也看到离截止时间还有几分钟，加上待会还要洗澡 🛀（不然会被舍友打），于是想着尽快完事。打开钓鱼网站后，新密码都是当场想的，于是就中招了。

值得一提是，在收到钓鱼邮件前，我曾经看过学校的公告提醒，但我真没细看，也没留下印象：

更那啥的是，我曾看过去年 USTC月饼钓鱼邮件新闻，以为 TJU 不会又搞这一波 ^[1]。这次受骗属实怪我。

受骗因素

一个灾难的成功发生，需要 n 重失误，并精确切入到各种漏洞之中，受骗也是如此。在此我简略总结了导致受骗发生的几点因素：

受骗因素	受骗者心理活动	社会上相关常见诈骗
伪造官方的邮件	忽视检查，轻信	伪造官网 UI、假冒「公检法」的证书诈骗、假冒警官证等。通过必要的表面措施使用户确信对方身份为官方。
内容确实和自己相关	增加信任	淘宝快递诈骗、疫情密接诈骗等。骗子了解用户相关信息赢取受害者信任。
紧急期限	慌张而不谨慎	公安上门拘禁诈骗、银行卡冻结诈骗、24 小时执行死刑骗局等。利用受害者慌乱心理，使其失去理智。
认为诈骗离自己很远	盲目自信

下两图找不同，猜猜哪个是官方的？钓鱼网页共有几处漏洞？

教训

这次的演练成功警醒我，虽然可能如果钓鱼网站要获取更多信息的话，我可能会产生怀疑。但不管怎么说，点击了链接我就输了。况且骗子一般不会设计复杂流程，因为「越简单的步骤受骗成功率越高」。

如果真被骗了，除了提高防范意识外，不要太苛责自己，人无完人。遇到困难可以及时向他人寻求帮助。

开奖后记

不过事后想想，这封开「奖」说明其实也可以做成第二重钓鱼的呢。

后续

本次活动以师生为演练对象， [email protected] 作为发件人，以《关于邮箱密码过期请及时更新的通知》作为钓鱼邮件主题，总计发送钓鱼邮件 42922 封。大部分师生都看穿了钓鱼邮件的“伪装”，积极向信网中心反馈和举报，充分体现了我校师生良好的网络安全意识。此次演练旨在提升广大师生的邮件安全意识，演练过程不会记录您的账号密码，也不会对您的系统和设备造成任何影响。——天大信网

推荐防范诈骗公众号：「终结诈骗」