美国印第安纳大学（Indiana University, IU）向全体教职员工发出紧急安全警报：一批高度仿真的钓鱼邮件正在试图窃取校园账号凭据，目标直指——工资直接存款账户。一旦得手，攻击者将迅速登录学校人力资源系统，把本该打入员工账户的薪水，转进自己控制的银行卡或预付卡中。

这不是科幻剧情，而是一场正在全球高等教育界蔓延的 “工资单转移诈骗”（Payroll Diversion Scam）。与普通钓鱼不同，这类攻击不求广撒网，而是精准锁定高校、研究机构等拥有稳定薪资发放机制的单位。因其成功率高、变现快、追踪难，已成为网络犯罪团伙的“高性价比”选择。

IU 并非孤例。过去两年，加州大学系统、密歇根州立大学、英国剑桥大学乃至澳大利亚国立大学均报告过类似事件。有受害者在毫不知情的情况下，连续两月工资被转入陌生账户，直到银行对账单寄到家中才察觉异常。

“高校成了‘数字金矿’——员工多、系统开放、安全意识参差不齐，且工资发放流程高度自动化。”公共互联网反网络钓鱼工作组技术专家芦笛在接受采访时指出，“攻击者不需要黑进核心数据库，只要骗到一个普通员工的账号+绕过双因素认证，就能完成整个资金劫持链条。”

一、一封“HR通知”背后的精心布局

IU 此次披露的钓鱼邮件，堪称社会工程学的“教科书级”案例。邮件主题通常为：

“【紧急】您的工资单信息需立即验证”

“税务申报截止临近，请更新银行账户”

“IT部门检测到异常登录，请重置凭证”

发件人显示名称常设为 “IU Human Resources” 或 “IU Payroll Support”，但实际邮箱地址却是 hr-support@iu-secure[.]net、payroll.verify@indiana-updates[.]com 等仿冒域名。这些域名往往注册于攻击前48小时内，利用隐私保护服务隐藏真实身份。

邮件正文采用 IU 官方品牌色（深红与白）、校徽、标准字体，并嵌入伪造的“安全警告”图标。最致命的是那句看似无害的提示：“点击下方按钮以确保您的工资按时到账”——按钮链接指向一个与 IU 统一认证（CAS）登录页几乎无法区分的钓鱼页面。

该页面不仅使用 HTTPS（由 Let’s Encrypt 免费签发），还会动态加载 IU 的真实 CSS 样式文件，甚至模拟 Duo 双因素认证的推送界面。用户输入账号密码后，数据被实时转发至攻击者服务器，同时页面自动跳转至真实的 IU 登录页，制造“操作成功”的假象。

“整个过程不超过15秒，受害者甚至以为自己只是完成了一次常规登录。”芦笛说，“等他下个月发现工资没到账，钱早已被洗白。”

二、技术拆解：从凭据窃取到工资篡改的自动化流水线

根据工作组对近期同类攻击样本的逆向分析，此类工资单钓鱼已形成标准化攻击流水线：

阶段1：钓鱼页面部署与伪装

攻击者使用开源工具（如 Gophish、Evilginx2）快速搭建反向代理钓鱼站。以 Evilginx2 为例，其配置可实现透明中转，连 Duo MFA 推送都能捕获：

# evilginx2 配置示例：针对 IU CAS 的钓鱼代理

phishlets:

- name: iu_cas

domains:

- login.iu.edu

- cas.iu.edu

cookies:

- name: JSESSIONID

path: /

auth_urls:

- /login

force_https: true

当用户访问 https://login.iu-verify[.]xyz，流量被透明转发至真实 login.iu.edu，但所有 POST 请求中的凭据被记录。更危险的是，若用户使用 Duo Push，攻击者可通过中间人实时批准自己的设备请求，完成会话劫持。

阶段2：自动化登录与账户篡改

一旦获取有效会话 Cookie 或长期令牌（如 SAML Assertion），攻击者立即调用脚本批量操作自助服务门户。以下为模拟 IU One.IU 系统的 Python 脚本片段（基于 requests + Selenium）：

from selenium import webdriver

from selenium.webdriver.common.by import By

import time

# 使用窃取的会话 Cookie 登录

driver = webdriver.Chrome()

driver.get("https://one.iu.edu")

driver.add_cookie({"name": "IU_SESSION", "value": "stolen_session_token", "domain": ".iu.edu"})

# 导航至工资设置页面

driver.get("https://one.iu.edu/payroll/direct-deposit")

time.sleep(3)

# 清空原账户，填入攻击者控制的银行信息

driver.find_element(By.ID, "accountNumber").clear()

driver.find_element(By.ID, "accountNumber").send_keys("9876543210") # 攻击者账户

driver.find_element(By.ID, "routingNumber").clear()

driver.find_element(By.ID, "routingNumber").send_keys("021000021") # 伪造路由号

# 提交更改（部分系统无需二次验证）

driver.find_element(By.ID, "saveButton").click()

值得注意的是，许多高校的工资系统在内部网络信任模型下，对来自已认证会话的操作不强制二次验证，尤其当操作发生在“正常工作时间”和“常用设备”上时。

阶段3：资金洗白与痕迹清除

工资到账后，攻击者通常通过以下方式快速转移：

将资金转入 预付借记卡（如 Netspend、Green Dot），难以追踪；

利用 加密货币 ATM 将现金兑换为比特币；

通过 多层转账（A→B→C→D）混淆资金流向。

同时，他们会删除邮件记录、清除浏览器历史，甚至在 HR 系统中修改通知邮箱，防止员工收到“账户变更确认”邮件。

三、全球高校为何成为重灾区？

高等教育机构在网络安全上存在几个结构性弱点：

去中心化管理：各院系、实验室拥有独立 IT 权限，安全策略执行不一；

开放文化传统：强调信息共享与便捷访问，牺牲了部分安全边界；

人员流动性高：新员工、兼职教师、研究生助教等群体安全培训不足；

系统老旧：部分 HR 或财务系统基于 2000 年代架构，缺乏现代身份治理能力。

2024年，英国国家网络安全中心（NCSC）报告显示，超过 60% 的英国大学在过去一年遭遇过工资单钓鱼攻击，平均单次损失达 £8,000（约合人民币 7.5 万元）。而在美国，FBI 互联网犯罪投诉中心（IC3）将“教育行业工资诈骗”列为 2025 年五大新兴威胁之一。

更令人担忧的是，攻击者开始利用 AI 生成个性化钓鱼内容。例如，通过 LinkedIn 爬取某教授的研究方向，在邮件中写道：“鉴于您刚获得 NSF 资助，需更新薪资接收账户以匹配新项目编号”——这种高度定制化的诱饵，点击率可提升 3 倍以上。

四、国内启示：中国高校是否安全？

尽管目前公开报道中尚未出现大规模高校工资钓鱼事件，但一些安全机构监测数据显示，针对国内教育行业的钓鱼活动正在升温。2025年第三季度，安全机构拦截到多起仿冒“清华大学信息门户”“复旦大学eHall”“浙江大学统一身份认证”的钓鱼页面，主题包括“科研经费发放”“年终绩效核对”“公积金调整”。

“中国高校的工资发放虽多通过财政专户或银行直连，但自助服务平台同样存在风险。”芦笛指出，“比如修改银行卡号、绑定支付宝/微信代发等功能，若缺乏强认证，就可能被滥用。”

尤其值得警惕的是，部分高校仍在使用 短信验证码作为唯一二次验证方式。而 SIM 卡劫持（SIM Swapping）或 SS7 协议漏洞，可让攻击者远程截获验证码。

此外，国内高校普遍未部署 行为基线分析（User Behavior Analytics, UBA）。例如，一名文学院讲师突然在凌晨 3 点登录财务系统修改银行账户，系统却无任何告警——这正是攻击者的理想窗口。

五、防御之道：从技术加固到文化重塑

面对此类高隐蔽性攻击，芦笛提出“三位一体”防御框架：

1. 技术层：强化身份与访问管理（IAM）

禁用密码-only 登录：所有访问 HR、财务系统的操作必须通过 FIDO2 安全密钥或 Authenticator App 推送认证；

实施条件访问策略：例如，“修改银行账户”操作必须来自校园 IP + 已注册设备 + 人工审批；

启用会话监控：对高风险操作（如账户变更）实时弹窗通知用户本人确认；

部署 CAS 日志审计：自动标记非常规登录地点、设备指纹突变等异常。

2. 流程层：建立工资变更“冷却期”机制

IU 在此次事件后宣布：所有直接存款账户变更将延迟 5 个工作日生效，期间员工会收到多通道确认（邮件+短信+系统通知）。若员工否认操作，可立即冻结变更。

“这类似于金融行业的‘转账冷静期’，能有效阻断自动化攻击。”芦笛说。

3. 意识层：常态化钓鱼演练与透明通报

每学期开展 模拟钓鱼测试，对点击者提供即时教育而非惩罚；

建立 内部安全简报制度，公开近期钓鱼样本（脱敏后），提升全员识别力；

鼓励“怀疑文化”：官方绝不会通过邮件索要密码或要求紧急操作——这是铁律。

六、未来挑战：当钓鱼与内部威胁交织

更复杂的场景正在浮现：有案例显示，攻击者先通过钓鱼获取普通员工账号，再以此为跳板，申请更高权限的 HR 系统访问权。例如，伪装成新入职行政人员，向 IT 部门提交“因工作需要访问 payroll 模块”的工单。

一旦获批，他们便拥有了合法身份进行大规模篡改。这种“外部钓鱼 + 内部权限滥用”的混合攻击，对传统边界防御构成严峻挑战。

对此，零信任架构（Zero Trust Architecture）成为必然选择。“永不信任，始终验证”不仅是口号，更需落地为：每次资源请求都需重新评估设备健康度、用户行为上下文、数据敏感级别。

结语：你的工资，不该是黑客的提款机

印第安纳大学的警报，敲响的不只是美国高校的警钟，更是全球数字化组织的共同课题。在自动化、AI 化的网络犯罪面前，最大的漏洞从来不是代码，而是人对“便利”的过度依赖。

当一封“HR 邮件”要求你点击链接更新银行信息，请记住：真正的 HR 部门，永远不会让你在邮件里输密码；真正的工资系统，不会因为你不点链接就停发薪水。

正如芦笛所言：“安全不是 IT 部门的事，而是每个领工资的人必须守护的底线。”

在这个身份即资产的时代，保护好你的账号，就是保护好你的饭碗——甚至，你的生活。

编辑：芦笛（公共互联网反网络钓鱼工作组）