查看新版>>
我的位置: 上观号 > 上海嘉定 > 文章详情

当心“假班级群”!竟有知名社交平台官方客服为“李鬼”发通知?

转自:上海嘉定 2023-09-07 11:32:21

新学期开学,针对家长和学生的网络诈骗或虚假宣传又开始蠢蠢欲动。上海辟谣平台在调查“假老师诱导家长付费”“培训机构假借学校名义推销课程”陷阱时发现,部分社交平台存在漏洞,看似正规的家校联系渠道也可能存在风险。
“钉钉小秘书”说老师喊你开会,能信吗?
“我们学校的家校交流主要通过‘钉钉’进行,不过‘钉钉小秘书’经常会发送‘作业群’‘班会群’等通知,向老师核实,发现都不是老师发的。”有读者提供了一条线索。
巧合的是,作为家长的记者也在钉钉平台看到了相关通知,调查后发现,该平台部分功能让不法分子有了可乘之机。
“钉钉小秘书”经常推送平台的官方信息,当用户加入家校群或其他群聊时,“钉钉小秘书”也会自动推送信息,提醒“你已加入**群/**组织”等。
从去年底开始,“钉钉小秘书”向记者推送了数条消息,有的称记者“已经加入‘学校作业4’(群名,下同)”,还有的称“李白邀请你加入‘连线校园4’”、“张桂芳邀请你加入‘学校家长群3’”“课代表邀请你加入‘数学作业批改’”,更有消息称“语文老师(李老师)邀请您进入群开会……点击卡片填写服务登记表,即可进入【请学生家长老师进群开会】,专享开户服务”。

记者也收到数条来自“钉钉小秘书”通知,从名称看都与孩子学习有关
在记者孩子的老师中,并没有“李白”“张桂芳”“李老师”等;向学校方面求证,被告知从未组织过这些群,通知不是学校发送的。奇怪的是,在这些打着学校名义的群组中,记者都被标注为“**妈妈”。

不认识的这些组织,为什么能知道记者是“**妈妈”呢?
调查发现,部分群有非常简单的信息提示,但很离谱。比如,“连线校园4”是“未认证 河东 初中等教育”,“学校家长群3”是“未认证 松原 土木工程”,这些组织与记者孩子的学校没有任何关系;最离谱的是“语文老师(李老师)”发出的开会邀请,来自一家济南的互联网公司,但工商登记信息显示,这家企业已在2021年11月2日申请了简易注销。

“启信宝”查询显示,发出开会通知的这家企业在2年前已申请简易注销
为什么不认识的“老师”、与学校无关的组织都可以利用“钉钉小秘书”给家长发消息,而且知道家长身份?为什么已经申请简易注销的企业,仍能以“老师邀请入群开会”的名义给学生家长推送通知?
即使没有答案,可目前少量的信息也足以让家长和孩子提高警惕:这些群不靠谱
找平台客服求证真伪,先授权个人信息?
记者试图联系钉钉官方客服刨根问底,不料一波三折。
首先,“钉钉小秘书”提供的“钉钉使用手册”显示,用户在使用钉钉遇到问题和建议时,只能通过手机端进入“我的客服与帮助”联系平台,但平台暂不提供服务热线。

记者只能根据“使用手册”,通过“我的客服”联系时,却发现用户必须授权关注“钉钉客服”服务窗,才能接受内容推送和服务通知。也就是说,在联系到客服前,用户先被迫成为了“钉钉客服”的粉丝。
接着,“钉钉客服”页面又显示,平台有热线客服,电话为400-111-6555,拨通后被告知,仅在工作日9:00-18:00提供服务;在指定时间段拨打,电话却是自动应答,大致意思是目前业务繁忙,请联系在线客服。
那么,“在线客服”能24小时提供服务吗?记者尝试联系在线客服,却被提醒,若想使用该服务,得先签署“授权协议”——“您在该服务窗中咨询的信息可能会同步给提供客服平台的产品服务方,以便相关产品服务提供者保留和处理您的咨询消息,用于本次及后续的服务”。记者想咨询的内容涉及不明组织的推送,并不想将个人信息及咨询内容提供给广告推送方,就选择了“拒绝”。谁知,不授权就不能获得进一步信息。
不得已,记者只能选择同意授权,并向客服提出3个问题:一、钉钉小秘书是谁?二、为什么会被钉钉小秘书通知加入了与孩子学校无关的作业群,并接到不认识的老师发出的开会通知?三、陌生人为何知道记者是“**妈妈”?
答复者仍是机器人,无法回答;在记者输入“人工客服”后,系统显示,人工客服仅在周一至周日的8:00-18:00服务。
在指定时间,记者经过长久等待,终于联系到了钉钉的人工客服,对于3个问题,客服的回答大意如下:
“钉钉小秘书”是钉钉的官方服务;被通知加入各种“群”,可能是对方输错手机号误添加了记者,如果不了解相关组织,记者可以选择拒绝入群或入群后主动退出;客服没有正面回答第3个问题,仅表示用户可以通过隐私设置,拒绝他人通过手机号码找到自己,拒绝他人查看组织信息,以及屏蔽来自非同事、非好友发起的邀请。

客服表示,“钉钉小秘书”是官方服务

钉钉支持陌生人通过手机号查找用户并邀请入群

钉钉客服未正面回答陌生人如何得到记者的身份信息
但记者查看自己的设置发现,早就将隐私信息设置在最小可见范围。

记者的隐私设置一直在最小可见范围
于是,记者向钉钉的客服抛出一个假设:用户是否可以编造一个企业或组织的名字,邀请已知手机号码的人入群,而钉钉并不会审核企业或组织是否正规?这些邀请同样能通过“钉钉小秘书”发送?
对此,客服表示“在钉钉中创建企业是不要求的,企业认证的话需要营业执照”。

客服表示在钉钉创建企业不审核,只有认证才需要营业执照
这一回答也解释了为何记者会收到诸多未认证的“家校群”“班级群”——平台没有任何审核机制。
梳理记者调查的整个过程,可以发现钉钉存在以下几个问题
第一,用户获得人工客服服务的难度较大,而且想要获取服务还得先授权个人信息。
第二,在钉钉里建群或组织,名称不需要经过平台认证,所以不法分子有机会冒用学校名称建群,误导家长学生。
第三,“钉钉小秘书”是平台的官方功能,但未经审核认证的组织发送的通知也能通过“钉钉小秘书”推送,从而增加用户的识别难度,让不法分子有机可乘。
第四,钉钉支持用户通过手机号查找其他用户并查看他人的公开信息,并且邀请陌生人加入组织或群。
所以,从记者亲历和调查看,家长和学生要注意,收到钉钉小秘书推送的学习信息、学习组群等,不能全信;如果在这些群聊中发现有涉及活动举办、费用收取等信息,更要与真老师确认,当心上当受骗。还有,用户要注意隐私保护,减少被陌生人或组织“拉群”的可能
当然,钉钉很有必要审查相关漏洞,不要被不法分子钻空子
当心,“假班主任”还有这些套路
钉钉只是社交工具之一。如今,越来越多的家校联系会通过社交工具的“群聊”进行。正因为此,不法分子除了利用官方助手发布信息诱导家长外,还会瞄准各种“社群”,找机会为学生和家长布下陷阱。对此,腾讯安全团队介绍了部分社群“假班主任”的套路——
第一步,设法入群。
不法分子通过“广撒网”,寻找那些没有设置验证机制或验证不严格的QQ班群,然后悄悄进群。
对于需要扫码进入或被邀请进入的微信群,不法分子会从那些在公开场合、无人监管下使用手机的学生入手,以“赠送游戏神器”“升级飞跃”甚至“免费变身”等借口,诱惑孩子们邀请他们加入班级微信群。或者用培训课试听等诱导家长,允许他们加入班级群。
第二步,换脸术。
进入班级群后,不法分子并不立刻行骗,而是躲在暗处,偷偷观察真班主任的言行风格和作息规律,下载班主任的头像,伺机而动。当班主任上课繁忙时,不法分子将自己的群聊头像“换脸”成班主任并更改名字,实现伪装。
第三步,双簧秀。
换脸后,不法分子就会发出收学费、资料费等通知,并贴上收款二维码。如果有人心生疑虑,他们会及时回复消息,表示都是真的;甚至群里可能有另一个“骗子账号”一起参与,通过“双簧秀”的方式,打消家长顾虑。

分批用餐,分散就餐
虽然不法分子精心设计,但这些骗局仍有漏洞。网络安全专家提醒,只要三招就能有效避免“假老师”“假家校群”——
第一招,家校联系群的群主要开启群验证功能,其余家长、学生也要提高警惕,不让陌生人入群,从根本上杜绝不法分子在群里设陷阱。
第二招,群主不定期检查班级群、学校群的成员组成,及时将形迹可疑的群成员“请出去”。
第三招,学校应通过两个以上的官方渠道发布缴费、活动通知,如“群消息+纸质通知”“群消息+公众号/官网告知”“群消息+校门口通知”等,方便家长学生验证。家长若收到可疑的通知,也要主动联系班主任或学校负责人,验证信息真伪。
来源:上海网络辟谣
编辑:张欣怡

立即加星标,每天看好文

喜欢就点个“赞”和“在看”吧~