當心“假班級群”！竟有知名社交平台官方客服為“李鬼”發通知？

新學期開學，針對家長和學生的網絡詐騙或虛假宣傳又開始蠢蠢欲動。上海闢謠平台在調查“假老師誘導家長付費”“培訓機構假借學校名義推銷課程”陷阱時發現，部分社交平台存在漏洞，看似正規的家校聯繫渠道也可能存在風險。

“釘釘小秘書”說老師喊你開會，能信嗎？

“我們學校的家校交流主要通過‘釘釘’進行，不過‘釘釘小秘書’經常會發送‘作業群’‘班會群’等通知，向老師核實，發現都不是老師發的。”有讀者提供了一條線索。

巧合的是，作為家長的記者也在釘釘平台看到了相關通知，調查後發現，該平台部分功能讓不法分子有了可乘之機。

“釘釘小秘書”經常推送平台的官方信息，當用戶加入家校群或其他群聊時，“釘釘小秘書”也會自動推送信息，提醒“你已加入**群/**組織”等。

從去年底開始，“釘釘小秘書”向記者推送了數條消息，有的稱記者“已經加入‘學校作業4’（群名，下同）”，還有的稱“李白邀請你加入‘連線校園4’”、“張桂芳邀請你加入‘學校家長群3’”“課代表邀請你加入‘數學作業批改’”，更有消息稱“語文老師（李老師）邀請您進入群開會……點擊卡片填寫服務登記表，即可進入【請學生家長老師進群開會】，專享開戶服務”。

記者也收到數條來自“釘釘小秘書”通知，從名稱看都與孩子學習有關

在記者孩子的老師中，並沒有“李白”“張桂芳”“李老師”等；向學校方面求證，被告知從未組織過這些群，通知不是學校發送的。奇怪的是，在這些打著學校名義的群組中，記者都被標註為“**媽媽”。

不認識的這些組織，為什麼能知道記者是“**媽媽”呢？

調查發現，部分群有非常簡單的信息提示，但很離譜。比如，“連線校園4”是“未認證 河東 初中等教育”，“學校家長群3”是“未認證 鬆原 土木工程”，這些組織與記者孩子的學校沒有任何關係；最離譜的是“語文老師（李老師）”發出的開會邀請，來自一家濟南的互聯網公司，但工商登記信息顯示，這家企業已在2021年11月2日申請了簡易註銷。

“啟信寶”查詢顯示，發出開會通知的這家企業在2年前已申請簡易註銷

為什麼不認識的“老師”、與學校無關的組織都可以利用“釘釘小秘書”給家長髮消息，而且知道家長身份？為什麼已經申請簡易註銷的企業，仍能以“老師邀請入群開會”的名義給學生家長推送通知？

即使沒有答案，可目前少量的信息也足以讓家長和孩子提高警惕：這些群不靠譜。

找平台客服求證真偽，先授權個人信息？

記者試圖聯繫釘釘官方客服刨根問底，不料一波三折。

首先，“釘釘小秘書”提供的“釘釘使用手冊”顯示，用戶在使用釘釘遇到問題和建議時，只能通過手機端進入“我的客服與幫助”聯繫平台，但平台暫不提供服務熱線。

記者只能根據“使用手冊”，通過“我的客服”聯繫時，卻發現用戶必須授權關注“釘釘客服”服務窗，才能接受內容推送和服務通知。也就是說，在聯繫到客服前，用戶先被迫成為了“釘釘客服”的粉絲。

接著，“釘釘客服”頁面又顯示，平台有熱線客服，電話為400-111-6555，撥通後被告知，僅在工作日9:00-18:00提供服務；在指定時間段撥打，電話卻是自動應答，大致意思是目前業務繁忙，請聯繫在線客服。

那麼，“在線客服”能24小時提供服務嗎？記者嚐試聯繫在線客服，卻被提醒，若想使用該服務，得先簽署“授權協議”——“您在該服務窗中諮詢的信息可能會同步給提供客服平台的產品服務方，以便相關產品服務提供者保留和處理您的諮詢消息，用於本次及後續的服務”。記者想諮詢的內容涉及不明組織的推送，並不想將個人信息及諮詢內容提供給廣告推送方，就選擇了“拒絕”。誰知，不授權就不能獲得進一步信息。

不得已，記者只能選擇同意授權，並向客服提出3個問題：一、釘釘小秘書是誰？二、為什麼會被釘釘小秘書通知加入了與孩子學校無關的作業群，並接到不認識的老師發出的開會通知？三、陌生人為何知道記者是“**媽媽”？

答覆者仍是機器人，無法回答；在記者輸入“人工客服”後，系統顯示，人工客服僅在週一至週日的8:00-18:00服務。

在指定時間，記者經過長久等待，終於聯繫到了釘釘的人工客服，對於3個問題，客服的回答大意如下：

“釘釘小秘書”是釘釘的官方服務；被通知加入各種“群”，可能是對方輸錯手機號誤添加了記者，如果不瞭解相關組織，記者可以選擇拒絕入群或入群後主動退出；客服沒有正面回答第3個問題，僅表示用戶可以通過隱私設置，拒絕他人通過手機號碼找到自己，拒絕他人查看組織信息，以及屏蔽來自非同事、非好友發起的邀請。

客服表示，“釘釘小秘書”是官方服務

釘釘支持陌生人通過手機號查找用戶並邀請入群

釘釘客服未正面回答陌生人如何得到記者的身份信息

但記者查看自己的設置發現，早就將隱私信息設置在最小可見範圍。

記者的隱私設置一直在最小可見範圍

於是，記者向釘釘的客服拋出一個假設：用戶是否可以編造一個企業或組織的名字，邀請已知手機號碼的人入群，而釘釘並不會審核企業或組織是否正規？這些邀請同樣能通過“釘釘小秘書”發送？

對此，客服表示“在釘釘中創建企業是不要求的，企業認證的話需要營業執照”。

客服表示在釘釘創建企業不審核，只有認證才需要營業執照

這一回答也解釋了為何記者會收到諸多未認證的“家校群”“班級群”——平台沒有任何審核機制。

梳理記者調查的整個過程，可以發現釘釘存在以下幾個問題：

第一，用戶獲得人工客服服務的難度較大，而且想要獲取服務還得先授權個人信息。

第二，在釘釘里建群或組織，名稱不需要經過平台認證，所以不法分子有機會冒用學校名稱建群，誤導家長學生。

第三，“釘釘小秘書”是平台的官方功能，但未經審核認證的組織發送的通知也能通過“釘釘小秘書”推送，從而增加用戶的識別難度，讓不法分子有機可乘。

第四，釘釘支持用戶通過手機號查找其他用戶並查看他人的公開信息，並且邀請陌生人加入組織或群。

所以，從記者親曆和調查看，家長和學生要注意，收到釘釘小秘書推送的學習信息、學習組群等，不能全信；如果在這些群聊中發現有涉及活動舉辦、費用收取等信息，更要與真老師確認，當心上當受騙。還有，用戶要注意隱私保護，減少被陌生人或組織“拉群”的可能 。

當然，釘釘很有必要審查相關漏洞，不要被不法分子鑽空子。

當心，“假班主任”還有這些套路

釘釘只是社交工具之一。如今，越來越多的家校聯繫會通過社交工具的“群聊”進行。正因為此，不法分子除了利用官方助手發佈信息誘導家長外，還會瞄準各種“社群”，找機會為學生和家長布下陷阱。對此，騰訊安全團隊介紹了部分社群“假班主任”的套路——

第一步，設法入群。

不法分子通過“廣撒網”，尋找那些沒有設置驗證機制或驗證不嚴格的QQ班群，然後悄悄進群。

對於需要掃碼進入或被邀請進入的微信群，不法分子會從那些在公開場合、無人監管下使用手機的學生入手，以“贈送遊戲神器”“升級飛躍”甚至“免費變身”等藉口，誘惑孩子們邀請他們加入班級微信群。或者用培訓課試聽等誘導家長，允許他們加入班級群。

第二步，換臉術。

進入班級群後，不法分子並不立刻行騙，而是躲在暗處，偷偷觀察真班主任的言行風格和作息規律，下載班主任的頭像，伺機而動。當班主任上課繁忙時，不法分子將自己的群聊頭像“換臉”成班主任並更改名字，實現偽裝。

第三步，雙簧秀。

換臉後，不法分子就會發出收學費、資料費等通知，並貼上收款二維碼。如果有人心生疑慮，他們會及時回覆消息，表示都是真的；甚至群裡可能有另一個“騙子賬號”一起參與，通過“雙簧秀”的方式，打消家長顧慮。

分批用餐，分散就餐

雖然不法分子精心設計，但這些騙局仍有漏洞。網絡安全專家提醒，只要三招就能有效避免“假老師”“假家校群”——

第一招，家校聯繫群的群主要開啟群驗證功能，其餘家長、學生也要提高警惕，不讓陌生人入群，從根本上杜絕不法分子在群裡設陷阱。

第二招，群主不定期檢查班級群、學校群的成員組成，及時將形跡可疑的群成員“請出去”。

第三招，學校應通過兩個以上的官方渠道發佈繳費、活動通知，如“群消息+紙質通知”“群消息+公眾號/官網告知”“群消息+校門口通知”等，方便家長學生驗證。家長若收到可疑的通知，也要主動聯繫班主任或學校負責人，驗證信息真偽。