美国高校薪资账户频遭“精准钓鱼”：一场精心策划的数字劫薪风暴

2025年11月初，美国多所高校接连曝出教职工工资账户被非法篡改事件——攻击者通过高度仿真的钓鱼邮件，诱导教师和行政人员登录伪造的薪酬系统页面，悄然将工资发放账户更换为攻击者控制的银行或预付卡账户。这场被称为“薪资钓鱼潮”的网络攻击行动，不仅造成大量个人经济损失，更对高校的信息安全体系与公众信任构成严峻挑战。

据福克斯新闻（Fox News）等多家媒体援引校方内部通报称，此次攻击并非零散个案，而是具备明显组织化、专业化特征的协同行动。从邮件模板、域名伪装到会话劫持技术，攻击链条环环相扣，甚至能绕过目前广泛部署的多因素认证（MFA），令不少资深IT人员也感到震惊。

钓鱼邮件“以假乱真”，连HR都难辨真伪

多位受害教职工回忆，他们收到的邮件标题如《重要通知：请于48小时内确认您的直接存款信息》或《薪酬系统维护提醒》，发件人显示为“人力资源部”或“薪资服务中心”，邮件内容使用学校官方配色、Logo，甚至包含真实管理人员的电子签名。点击链接后，跳转至一个几乎与学校官方门户一模一样的登录页面。

“我根本没怀疑，因为页面连‘忘记密码’功能都能用，而且输入账号密码后还能正常接收短信验证码。”一位不愿具名的加州州立大学讲师表示。然而，他不知道的是，这个看似正常的登录流程背后，正通过“反向代理”技术将他的会话令牌实时转发给攻击者——后者在另一端同步操作，完成账户变更。

公共互联网反网络钓鱼工作组技术专家芦笛解释：“这种攻击叫‘会话中继’或‘MFA疲劳绕过’。攻击者搭建一个中间代理服务器，用户以为自己在登录学校系统，实际上所有请求都被转发给真实站点，而响应又被回传给用户。整个过程用户无感，但攻击者已获得有效会话，可执行高危操作。”

攻击时机精准，手法隐蔽性强

值得注意的是，攻击者往往选择在工资发放日前3–5天集中行动。一旦成功修改工资账户，他们还会主动删除系统发送的变更确认邮件或通知，以延迟受害者发现时间。部分案例中，教职工直到银行账户未到账、联系财务部门核查时，才意识到工资已被“劫走”。

这不仅导致个人蒙受数千至上万美元损失，也让高校陷入被动。一方面需紧急冻结可疑转账、协调银行追款；另一方面还要应对合规审查、员工投诉及声誉风险。更有甚者，因未能及时识别异常操作，学校IT部门面临内部问责压力。

“这类攻击之所以高效，是因为它精准利用了人类对‘权威通知’的信任心理，以及对薪资系统的天然关注。”芦笛指出，“攻击者不再只是广撒网，而是针对特定机构、特定岗位进行‘鱼叉式钓鱼’（Spear Phishing），成功率大幅提升。”

技术防线为何失守？MFA并非万能盾牌

长期以来，启用多因素认证（MFA）被视为防范账户盗用的“黄金标准”。但在本次事件中，即便教职工启用了短信或认证器App验证，攻击仍能得逞。原因在于，传统基于OTP（一次性密码）的MFA无法抵御“实时中继”攻击。

芦笛进一步科普：“FIDO2/WebAuthn这类基于公钥加密的无密码认证方式，才是当前最有效的防御手段。它通过本地设备生成密钥对，私钥永不离开用户设备，且每次认证绑定具体网站上下文，从根本上杜绝会话劫持可能。”

遗憾的是，目前多数高校的IdP（身份提供商）尚未全面部署FIDO2支持，仍依赖易被绕过的短信或TOTP（基于时间的一次性密码）方案。

专家建议：从流程到技术，构建纵深防御

面对日益狡猾的攻击者，单一技术手段已不足以应对。芦笛代表反网络钓鱼工作组提出一套“组合拳”建议：

薪资变更必须双人复核：任何工资账户修改需经申请人与HR或财务人员双重确认，且第二方需通过独立渠道（如电话、企业微信）核实意图。

启用带外（Out-of-band）验证：系统在检测到敏感操作时，自动触发短信或语音回拨，要求用户口头确认，而非仅依赖在线验证码。

强制高风险操作使用FIDO2认证：在身份认证平台中，对账户绑定、密码重置、薪资设置等操作强制启用硬件安全密钥或生物识别认证。

部署DMARC+品牌保护策略：通过配置DMARC（Domain-based Message Authentication, Reporting & Conformance）策略，拒收伪造校方域名的邮件；同时注册学校品牌关键词，监控暗网与钓鱼站点。

加强行为风控与日志审计：对登录IP异常（如境外跳转）、新设备首次访问、会话时长过短等行为实时告警，并保留完整操作日志供溯源。

开展针对性安全意识培训：定期组织“仿冒门户识别”演练，让员工亲身体验真假页面差异；普及“会话劫持”原理，提升警惕性。

执法介入，呼吁全民共防

目前，美国联邦调查局（FBI）与网络安全与基础设施安全局（CISA）已介入调查，并发布联合预警，提醒教育机构提高警惕。执法部门强调，一旦发现可疑账户变更，应立即联系银行冻结资金，并完整保存邮件头、登录日志、浏览器缓存等电子证据，以便追踪攻击源头。

“网络钓鱼早已不是‘中奖诈骗’那种低级套路，”芦笛总结道，“今天的攻击者懂心理学、懂工程、懂合规漏洞。防御不能只靠技术，更需要制度、流程与人的协同。高校作为知识高地，理应成为网络安全的标杆，而非攻击者的试验田。”

随着远程办公与数字化薪酬管理的普及，类似攻击很可能蔓延至企业、政府乃至医疗行业。这场席卷美国高校的“数字劫薪”风波，或许正是全社会重新审视身份安全体系的警钟。

编辑：芦笛（公共互联网反网络钓鱼工作组）