0x00 同学的钓鱼网站

今天发生了一个小插曲,我们班,有一位学信息安全的同学,他做了一个假冒我们学校教务处的钓鱼网站,然后将其发到我们班的班级群里面,试图迷惑同学上钩访问,然后盗取教务处的登录账号和密码。

我们学院教务处网站没有专门的子域名,只有IP的形式,从http://210.44.176.43/ 开始一直到http://210.44.176.46/ 一共4个服务器,他发在群里的IP是这样的:http://119.28.隐藏.隐藏/ ,着实让我起了疑心,于是去查了一下IP的来源,发现其来自香港特别行政区腾讯集团,这很明显就是腾讯云香港的服务器,我们学校指定不会将教务处网站服务器的地址设置在香港,然后我试着输入我的学号和一个错误的密码,点击登录,发现他做了一步跳转,到我们学校教务处的真实IP地址,实际并没有登录也没有弹出密码错误的提示信息,所以,我断定他是一个钓鱼网站。

我在班级群里揭发了他,然后就有了下面的对话:

Twitter

中间跟他私聊了一下,他也坦白向我承认这是他做的一个钓鱼网站:

Twitter

这种行为在本质上来说属于欺骗,透支同学间的信用,是不可取的。但是我又不想“识破不说破”,最后我还是在班级群里说他是为了测试大家的网络安全防范意识做一个调查才这么做的(如图一),当然他也按我的要求关闭了那个假冒的教务处网站。但是我还是从心里认为,不管出于什么样的初衷,我们学技术都应当是为了一个好的目的,学信息安全,就更应当去做一个白帽子,发现漏洞是为了修补漏洞,而不是利用漏洞去攻击。

技术是一把双刃剑,如果把它用对了地方,他自然会造福人类(至少是一部分人),但是如果用到了不好的地方,比如做黑客或者黑产倒卖个人信息这种勾当,法律上不允许,而且道德上也更不会说得过去。

国家、大学为我们提供了这么好的实验室资源,免费的24小时空调、免费的水电、免费的机房、免费的宽带和学习环境,国家花了钱培养我们,也是寄希望于以后可以为国家做出一定贡献来(虽然我们给学校交了学费 ̄□ ̄||)