『如果章节错误,点此举报』第(2/3)页
处工作人员当场在纸右上角盖了一个编号章:C-001,拍照,写下交付人脱敏编号U-017,时间09:02。
周砚看着那叠纸的第一页,心里冷了一截:那是一份所谓“口径调整建议_内部”,标题和内控邮件里提到的文件名极其接近,但内容明显经过拼接——几处数据区间被改成单点数字,几句“建议谨慎措辞”被剪成“承认数据造假”,最后还附了一段极具煽动性的“内部承认”结论。
这是剪辑式伪造,专门用来点燃情绪。
视野边缘,蓝色面板亮起,字色冰冷:
【现场攻击落地:伪造内部资料+人群扩散=制造不可控舆情】
【应对关键:不争真假,先固定证据;不解释动机,只提供核验结论与核验路径】
09:14,周砚把C-001纸张拍照上传到共享盘“合规记录/现场舆情”目录,命名标准到毫厘:202X-XX-XX 开放日 伪造资料散发 C-001(图片/视频/登记表)。同时生成一个“现场事件记录单”,写明时间线:
08:55 自媒体到场提问;
08:58 背包男开始散发纸质资料;
09:02 登记处收集纸张样本C-001;
09:05 安保礼貌劝止散发;
09:10 核验区引导用户扫码核验;
09:12 现场秩序恢复。
他不急着给“真相”下结论,他先把“发生过什么”写成不可否认的事实。
09:27,安全部负责人给周砚发来一条短消息:“内控确认,散发的那份纸内容与阿远工作站里的‘口径调整建议_内部’有高度相似,但有明显篡改痕迹。正在比对版本差异。”
周砚只回了两个字:“留痕。”
他把消息截图归档,作为“内部比对正在进行”的佐证。
09:43,更隐蔽的一刀来了。
核验区突然有用户喊了一句:“咦,你们这个二维码扫出来怎么是一个空白页面?我手机还提示风险链接。”
现场立刻又开始窃窃私语。夹克男抓住机会冲上来:“看!你们二维码是钓鱼的吧?你们说公开核验,结果链接还风险!这不是骗局吗?”
周砚眼神瞬间沉下去。
他昨天最担心的就是这件事:二维码被替换,或者跳转被劫持。可海报他做过三重核验,贴完也拍照留痕,理论上不该出问题。
他没有当场解释,直接走到海报前,自己掏手机扫码——页面正常,域名正确,隐私告知可见,没有任何风险提示。
第二台手机扫码——也正常。
可刚才那个用户的手机提示风险链接,说明至少存在一种情况:要么用户扫的不是海报上的二维码,要么有人给他递了“另一张二维码卡片”,要么对方在现场贴了一个很像的“覆盖贴”。
周砚的目光快速扫过海报四周,果然在海报左下角发现了一张透明的薄膜贴纸——贴纸边缘处理得很细,远看像是海报覆膜的一部分,但贴纸上的二维码位置正好覆盖了原二维码的一角,形成“扫谁都可能扫到贴纸码”的效果。
这不是替换海报,是“局部覆盖”。
周砚没有伸手去撕——撕掉的动作会被对方拍成“毁证据”。他做了最冷静也最有效的动作:拿出手机,先拍全景,再拍贴纸特写,把贴纸的边缘、覆盖位置、二维码图案拍清楚,最后用另一台手机扫贴纸二维码,记录跳转域名与风险提示界面。
跳转页面是一个空白的仿站页面,域名看起来像官方域名的拼写变体,且页面底部有一个“提交手机号领取资料”的输入框。
这不是舆情,这是信息安全攻击。
周砚心里一沉,但声音仍然稳:“王珊,按预案执行。核验区立刻暂停扫码,改为工作人员手持官方链接二维码卡片一对一展示;现场安保把这个区域拉开,禁止任何人靠近海报。登记处记录‘二维码覆盖贴’事件,编号封存。”
王珊脸色瞬间变了,但她没有慌,立刻执行:“大家先别扫海报,我们这边给官方核验链接,放心。安保,拉线!”
夹克男还想冲:“你们心虚了吧?二维码钓鱼还敢说公开核验?”
周砚抬头看他,只说一句:“我们已经固定证据并报警备案,钓鱼链接不是我们的,是现场被恶意覆盖。你继续传播不实信息,我们会按流程提交平台与警方。”
“报警备案”四个字,比任何争吵都更有压制力。夹克男的表情僵了一下,明显没想到周砚敢把事往更高一级的合规路径推。
周砚没给他继续表演的空间,转身对登记处说:“把贴纸封存编号,C-002。记录发现时间、发现人、覆盖位置、扫码跳转结果、风险提示截图。现场所有二维码展示改为手持卡片,且卡片版本号必须可见。”
登记处立刻执行,安保把海报区域隔离。运营同事全程录像留痕,镜头里清清楚楚:贴纸覆盖、扫码跳转、风险提示、封存编号。
10:02,王珊的领导打来电话。
王珊开免提,领导的声音压着火:“现场怎么回事?自媒体说你们二维码钓鱼,已经有人在群里发短视频了!你们能不能稳住?”
王珊还没开口,周砚先把手机递给她看——手机屏幕上是C-002事件记录单的实时文档,以及贴纸二维码跳转的域名截图、风险提示截图、封存编号照片。
王珊立刻对领导说:“不是我们钓鱼,是现场被恶意覆盖二维码。我们已固定证据,编号封存C-002,已按预案切换为手持官方链接核验,不再让用户扫海报。我们会同步内控与安全部,走信息安全事件流程。”
领导沉默了两秒,声音明显冷下来:“证据留好。不要在现场吵。让用户看到你们在处理,不要让节奏跑到自媒体手里。”
“明白。”王珊答。
电话挂断后,王珊看向周砚,压着声音:“你早就预判会有人换二维码?”
“不是预判,是风险清单里必然存在的一项。”周砚把话说得很平,“他们要制造‘你们不可信’,最快的方式就是让核验路径本身出问题。只要核验路径出问题,再真也会被说成假。”
10:28,现场恢复秩序。
用户被引导到核验区,工作人员拿着手持卡片逐一展示官方核验链接,用户扫出来是正常页面,风险提示消失,人群的情绪慢慢回落。自媒体还在拍,但已经拍不到“混乱”,只能拍到“他们在处理”。
真正的胜负不在你有没有被攻击,而在你被攻击后能不能把攻击变成证据。
11:06,内控高岚的电话打进来。
她开门见山:“现场出现二维码覆盖贴,属于明确的信息安全事件。你把证据链发我,另外,把你上午固定的伪造内部纸张C-001也一起发。内控要把两条线串起来:外部攻击与内部资料流出是否同源。”
周砚答:“已固定。十分钟内给你。证据包含:贴纸实物封存编号、扫码跳转域名截图、风险提示截图、现场录像、登记表;C-001包含纸张照片、散发者行为录像、登记表。”
“散发者身份能锁吗?”高岚问。
“现场我们只做留痕,不做抓人。”周砚语气很稳,“身份锁定交给安保和警方。我只负责把事件写成可核验事实。”
高岚短促地“嗯”了一声:“对。你别越界,但你留痕留得够细,足够让别人去锁。”
11:17,周砚把C-001、C-002两条证据链打包成“现场舆情与安全事件证据包(D5)”,生成哈希,上传共享盘,按清单逐项列出:图片、视频、登记表、扫码跳转域名、风险提示截图、封存编号照片。然后发给高岚,抄送梁总与安全部负责人。
邮件主题依旧硬:“开放日现场信息安全事件证据包(二维码覆盖贴C-002)+伪造资料散发证据包(C-001)——已固定可核验。”
12:03,午间短暂空档。
周砚站到售楼处外场的阴影里,终于喝了一口水。冷水滑进喉咙,他才意识到自己从早上到现在几乎没停过。
王珊走过来,声音压得很低:“我收到消息,散发纸的人和贴二维码的
(本章未完,请翻页)
第53章 现场留痕 我把废案写成爆款
