上海网路辟谣
新学期开学,针对父母和中学生的网络诈骗或虚假宣传又开始蠢蠢欲动。上海辟谣平台在调查“假老师诱导父母付费”“培训机构假借中学名义推销课程”陷阱时发觉,部分社交平台存在漏洞,看似正规的家校联系渠道也可能存在风险。
“钉钉小秘书”说老师喊你开会,能信吗?
“我们中学的家校交流主要通过‘钉钉’进行,不过‘钉钉小秘书’经常会发送‘作业群’‘班会群’等通知,向老师核对,发现都不是老师发的。”有读者提供了一条线索。
巧合的是,作为父母的记者也在钉钉平台见到了相关通知,调查后发觉,该平台部份功能让不法分子有了可乘之机。
“钉钉小秘书”经常推送平台的官方信息,当用户加入家校群或其他群聊时,“钉钉小秘书”也会手动推送信息,提醒“你已加入**群/**组织”等。
从去年底开始,“钉钉小秘书”向记者推送了数条消息,有的称记者“已经加入‘学校作业4’(群名,下同)”,还有的称“李白约请你加入‘连线校园4’”、“张桂芳约请你加入‘学校家长群3’”“课代表约请你加入‘数学作业批阅’”,更有消息称“语文老师(李老师)邀请您步入群开会……点击卡片填写服务登记表,即可步入【请中学生父母老师进群开会】,专享开户服务”。
#4:e:d:1:8:f:2:6:9:e:a:5:3:5:c:5:f:0:3:7:1:e:8:5:d:c:7:e:d:e:0:f#
#1:c:1:3:d:b:0:d:b:2:d:e:5:8:a:3:6:5:8:c:1:f:3:7:f:6:8:7:5:d:f:f#
记者也收到数条来自“钉钉小秘书”通知,从名称看都与儿子学习有关
在记者女儿的老师中,并没有“李白”“张桂芳”“李老师”等;向中学方面求证,被告知未曾组织过这种群,通知不是中学发送的。奇怪的是,在这种打着中学名义的群组中,记者都被标明为“**爸爸”。
#f:9:e:4:b:2:f:b:6:8:0:a:d:7:8:f:1:d:f:9:4:4:6:5:0:e:8:8:0:a:9:7#
不认识的这种组织,为什么能晓得记者是“**爸爸”呢?
调查发觉,部分群有特别简单的信息提示,但很离谱。比如,“连线校园4”是“未认证 河东 初中等教育”,“学校父母群3”是“未认证 松原 土木工程”,这些组织与记者女儿的中学没有任何关系;最离谱的是“语文老师(李老师)”发出的开会约请,来自一家北京的互联网公司,但工商登记信息显示,这家企业已在2021年11月2日申请了简易注销。
#7:a:2:2:f:a:1:6:f:1:6:0:a:7:2:5:9:6:8:f:3:6:d:7:c:2:f:0:f:3:4:5#
“启信宝”查询显示,发出开会通知的这家企业在2年前已申请简易注销
为什么不认识的“老师”、与中学无关的组织都可以借助“钉钉小秘书”给父母发消息,而且晓得父母身分?为什么早已申请简易注销的企业,仍能以“老师约请入群开会”的名义给中学生父母推送通知?
即使没有答案,可目前少量的信息也足以让父母和儿子提升提防:这些群不靠谱。
找平台客服求证真假,先授权个人信息?
记者企图联系钉钉官方客服刨根问底,不料一波三折。
首先,“钉钉小秘书”提供的“钉钉使用指南”显示,用户在使用钉钉碰到问题和建议时,只能通过手机端步入“我的客服与帮助”联系平台,但平台暂不提供服务热线。
#b:2:c:9:2:7:6:d:8:2:0:9:d:6:3:c:8:2:8:6:b:8:4:1:8:e:e:d:3:3:1:7#
记者只能按照“使用指南”,通过“我的客服”联系时,却发觉用户必须授权关注“钉钉客服”服务窗,才能接受内容推送和服务通知。也就是说,在联系到客服前,用户先被迫成为了“钉钉客服”的粉丝。
接着,“钉钉客服”页面又显示,平台有热线客服,电话为400-111-6555,拨通后被告知,仅在工作日9:00-18:00提供服务;在指定时间段拨通,电话却是手动应答,大致意思是目前业务忙碌,请联系在线客服。
那么,“在线客服”能24小时提供服务吗?记者尝试联系在线客服,却被提醒,若想使用该服务,得先签订“授权合同”——“您在该服务窗中咨询的信息可能会同步给提供客服平台的产品服务方,以便相关产品服务提供者保留和处理您的咨询消息,用于本次及后续的服务”。记者想咨询的内容涉及不明组织的推送,并不想将个人信息及咨询内容提供给广告推送方,就选择了“拒绝”。谁知,不授权就不能获得进一步信息。
不得已,记者只能选择同意授权,并向客服提出3个问题:一、钉钉小秘书是谁?二、为什么会被钉钉小秘书通知加入了与儿子中学无关的作业群,并接到不认识的老师发出的开会通知?三、陌生人为什么晓得记者是“**爸爸”?
答复者仍是机器人,无法回答;在记者输入“人工客服”后,系统显示,人工客服仅在周日至周四的8:00-18:00服务。
在指定时间,记者经过长久等待,终于联系到了钉钉的人工客服,对于3个问题,客服的回答大意如下:
“钉钉小秘书”是钉钉的官方服务;被通知加入各类“群”,可能是对方输错手机号误添加了记者,如果不了解相关组织,记者可以选择拒绝入群或入群后主动退出;客服没有正面回答第3个问题,仅表示用户可以通过隐私设置,拒绝别人通过手机号码找到自己,拒绝别人查看组织信息,以及屏蔽来自非同学、非好友发起的约请。
#a:b:f:2:8:f:2:5:1:d:7:5:d:c:f:6:7:0:1:f:9:d:3:6:0:d:c:3:c:8:1:b#
客服表示,“钉钉小秘书”是官方服务
#5:9:8:0:7:b:4:9:0:a:2:0:a:0:5:2:0:a:1:1:9:1:0:6:d:d:b:5:6:a:c:5#
钉钉支持陌生人通过手机号查找用户并约请入群
#1:4:a:a:7:3:d:c:c:f:7:3:c:3:c:7:b:a:8:9:0:f:c:0:0:3:6:7:4:f:b:b#
钉钉客服未正面回答陌生人怎样得到记者的身分信息
但记者查看自己的设置发觉,早就将隐私信息设置在最小可见范围。
#2:7:9:4:c:e:8:3:9:c:6:4:a:4:8:b:0:0:0:b:c:b:b:c:8:8:0:b:0:5:f:3#
#a:a:8:9:6:3:7:9:c:4:7:d:0:6:1:f:c:7:1:4:6:e:6:6:b:c:e:4:c:f:b:3#
记者的隐私设置仍然在最小可见范围
于是,记者向钉钉的客服抛出一个假定:用户是否可以散布一个企业或组织的名子,邀请已知手机号码的人入群,而钉钉并不会初审企业或组织是否正规?这些约请同样能通过“钉钉小秘书”发送?
对此,客服表示“在钉钉中创建企业是不要求的,企业认证的话须要营业执照”。
#d:d:7:c:6:7:a:7:1:6:8:2:7:e:0:9:4:f:6:8:a:e:9:5:a:e:d:6:6:d:c:0#
客服表示在钉钉创建企业不初审,只有认证才须要营业执照
这一回答也解释了为什么记者会收到众多未认证的“家校群”“班级群”——平台没有任何初审机制。
梳理记者调查的整个过程,可以发觉钉钉存在以下几个问题:
第一,用户获得人工客服服务的难度较大,而且想要获取服务还得先授权个人信息。
第二,在钉钉里建群或组织,名称不需要经过平台认证,所以不法分子有机会盗用中学名称建群,误导父母中学生。
第三,“钉钉小秘书”是平台的官方功能,但未经初审认证的组织发送的通知也能通过“钉钉小秘书”推送,从而降低用户的辨识难度,让不法分子有机可乘。
第四,钉钉支持用户通过手机号查找其他用户并查看别人的公开信息,并且约请陌生人加入组织或群。
所以,从记者亲历和调查看,家长和中学生要注意,收到钉钉小秘书推送的学习信息、学习组群等,不能全信;如果在这种群聊中发觉有涉及活动举行、费用缴纳等信息,更要与真老师确认,当心上当受骗。还有,用户要注意隐私保护,减少被陌生人或组织“拉群”的可能。
当然,钉钉很有必要审查相关漏洞,不要被不法分子钻空子。
当心,“假教师”还有那些套路
钉钉只是社交工具之一。如今,越来越多的家校联系会通过社交工具的“群聊”进行。正由于此,不法分子不仅借助官方助手发布信息诱导父母外,还会瞄准各类“社群”,找机会为中学生和父母布下圈套。对此,腾讯安全团队介绍了部份社群“假教师”的套路——
第一步,设法入群。
不法分子通过“广撒网”,寻找这些没有设置验证机制或验证不严格的QQ班群,然后悄悄进群。
对于须要扫码步入或被约请步入的微信群,不法分子会从这些在公开场合、无人监管下使用手机的中学生入手,以“赠送游戏利器”“升级飞越”甚至“免费化身”等托词,诱惑孩子们约请她们加入班级微信群。或者用培训课试听等诱导父母,允许她们加入班级群。
第二步,换脸术。
进入班级群后,不法分子并不立即诈骗,而是躲在暗处,偷偷观察真校长的言行风格和作息规律,下载教师的头像,伺机而动。当教师上课忙碌时,不法分子将自己的群聊头像“换脸”成教师并修改名子,实现伪装。
第三步,双簧秀。
换脸后,不法分子都会发出收杂费、资料费等通知,并贴上收款二维码。如果有人心生疑惑,他们会及时回复消息,表示都是真的;甚至群里可能有另一个“骗子帐号”一起参与,通过“双簧秀”的形式,打消父母疑虑。
虽然不法分子悉心设计,但这种骗子仍有漏洞。网络安全专家提醒,只要三招能够有效防止“假老师”“假家校群”——
第一招,家校联系群的群主要开启群验证功能,其余父母、学生也要提升提防,不让陌生人入群,从根本上避免不法分子在群里设圈套。
第二招,群主不定期检测班级群、学校群的成员组成,及时将形迹可疑的群成员“请出去”。
第三招,学校应通过两个以上的官方渠道发布交费、活动通知,如“群消息+纸质通知”“群消息+公众号/官网告知”“群消息+校旁边通知”等,方便父母中学生验证。家长若收到可疑的通知,也要主动联系校长或中学负责人,验证信息真假。
