我，一个安全工程师
如何被一场骗局击穿

今天在公司给新员工做反诈培训，我讲了45分钟。从钓鱼邮件到杀猪盘，从AI换脸到伪基站，台下的实习生们频频点头。散会后有人问我：“老师，你自己遇到过诈骗吗？”我笑着说：“干这行的，骗术在我眼里都是透明的。”

回家路上，我甚至有点得意。这些年我帮同事拦截过几十次钓鱼攻击，帮家人设置了各种安全防护。银行卡限额、双重验证、密码管理器——我自认为武装到了牙齿。那天晚上我在朋友圈发了一条动态：“安全不是产品，是习惯。”现在回头看，讽刺至极。

下午3点17分，手机震动。短信显示：【顺丰速运】您的包裹因地址不详滞留，请点击链接补充信息。我确实在等一个快递，是给女儿的生日礼物。链接域名是 sf-express.xyz，和官方差了几个字母。

换做以前，我会直接删掉。但那几天项目压力大，连续加班，大脑处于低功耗状态。我下意识点开了链接——页面和顺丰一模一样。输入了地址后，页面跳转提示“验证身份”，要求输入支付宝账号和验证码。

看到“验证码”三个字，我的手指悬停了。但页面设计得太逼真了，加上“超时将关闭订单”的倒计时，我竟然鬼使神差地输入了验证码。几秒钟后，支付宝弹出一条消费通知：¥8,700.00。

昨晚几乎没睡。我坐在电脑前，把那条短信、那个网站、整个过程复盘了十几遍。攻击手法并不高明——典型的钓鱼网站+实时反向代理，偷了我的会话Cookie和验证码。我关闭了短信验证码作为2FA，但攻击者利用的是我输入的那一次。

报警后，警察说追回概率很低。银行说钱已经被转走了。我老婆没有怪我，只是说“人没事就好”。但那天晚上，我在阳台坐了很久。不是心疼那8700块，是我突然意识到：原来我的“专业”只是一个幻觉。当骗子精准地在疲惫时刻投递诱饵，我和所有人一样脆弱。

今天，和我同期入职的同事老周请了假。下午他发消息给我：“我被骗了12万。”杀猪盘。他在社交软件认识了一个“女孩”，聊了三个月，对方带他投资虚拟币。前几笔都赚了，最后一把投了12万，平台消失，人也消失。

老周比我大六岁，技术比我强，以前还嘲笑过“怎么会有人相信网恋投资”。但现在他哽咽着说：“我真的以为她不一样。”我陪他在楼下抽了一包烟。两个搞安全的人，坐在台阶上，讨论自己是怎么被攻破的。他说：“我们懂技术，但骗子玩的是心。”我突然觉得，那些培训时讲过的案例，突然都活了。

昨晚我妈打来电话，声音发抖：“你爸接到一个电话，说你在外面出事了，让转5万块钱。他差点就去银行了，被我拦下来了。”我挂了电话，立刻给我爸打过去。他还在嘴硬：“那人说的信息都对，我能不信吗？”

我沉默了。那些信息——我的名字、工作单位、甚至车牌号——都是从社交媒体泄露出去的。我爸差点被骗，而罪魁祸首之一，是我自己把信息暴露在了网上。那天晚上我和爸妈视频了40分钟，教他们怎么识别诈骗电话，约定了家庭暗号：“小满”（我女儿的小名）是安全的信号。

这几个月，我重新读了很多关于社会工程学的书。凯文·米特尼克说得对：人是最薄弱的环节。但以前我理解得太浅了——我一直以为“薄弱”是别人的事，直到它发生在我身上。

我开始在公司推动新的培训方式：不再只是讲PPT，而是模拟真实的钓鱼攻击，让同事们在安全环境里“被骗一次”。效果比任何说教都好。有人说：“原来我点链接之前，真的不会看域名。”也有人说：“杀猪盘的聊天记录让我后怕，我差点也信了。”

我还在家里做了一件事：把防骗口诀贴在冰箱上。“验证码就是取款码，谁要都不给。”女儿上小学，她已经能背下来了。

今天，距离我被骗已经五个月。8700块钱没有追回来，但它教会我的东西，值更多。

以前我觉得“安全”是一套工具：防火墙、杀毒软件、双重验证。现在我知道，真正的安全是一种状态：随时承认自己可能犯错的状态。那个自信满满的我，才是最脆弱的我。

如果你正在读这段文字，我想对你说几件事：

• 不要嘲笑任何被骗的人。你只是比他们多了一点运气。
• 疲惫的时候，把决策权交给“延迟机制”。设置24小时冷静期。
• 和家人约定一个只有你们知道的暗号。那可能是你们之间最后一道防线。
• 如果你被骗了，那不是你的错。骗子是职业选手。但你一定要说出来，让更多人知道。

我把这条短信保存了下来，放在手机相册里。不是提醒自己有多蠢，是提醒自己：没有人是绝对安全的，包括我。