周砚抬头看他,只说一句:“我们已经固定证据并报警备案,钓鱼链接不是我们的,是现场被恶意覆盖。你继续传播不实信息,我们会按流程提交平台与警方。”
“报警备案”四个字,比任何争吵都更有压制力。夹克男的表情僵了一下,明显没想到周砚敢把事往更高一级的合规路径推。
周砚没给他继续表演的空间,转身对登记处说:“把贴纸封存编号,c-002。记录发现时间、发现人、覆盖位置、扫码跳转结果、风险提示截图。现场所有二维码展示改为手持卡片,且卡片版本号必须可见。”
登记处立刻执行,安保把海报区域隔离。运营同事全程录像留痕,镜头里清清楚楚:贴纸覆盖、扫码跳转、风险提示、封存编号。
1002,王珊的领导打来电话。
王珊开免提,领导的声音压着火:“现场怎么回事?自媒体说你们二维码钓鱼,已经有人在群里发短视频了!你们能不能稳住?”
王珊还没开口,周砚先把手机递给她看――手机屏幕上是c-002事件记录单的实时文档,以及贴纸二维码跳转的域名截图、风险提示截图、封存编号照片。
王珊立刻对领导说:“不是我们钓鱼,是现场被恶意覆盖二维码。我们已固定证据,编号封存c-002,已按预案切换为手持官方链接核验,不再让用户扫海报。我们会同步内控与安全部,走信息安全事件流程。”
领导沉默了两秒,声音明显冷下来:“证据留好。不要在现场吵。让用户看到你们在处理,不要让节奏跑到自媒体手里。”
“明白。”王珊答。
电话挂断后,王珊看向周砚,压着声音:“你早就预判会有人换二维码?”
“不是预判,是风险清单里必然存在的一项。”周砚把话说得很平,“他们要制造‘你们不可信’,最快的方式就是让核验路径本身出问题。只要核验路径出问题,再真也会被说成假。”
1028,现场恢复秩序。
用户被引导到核验区,工作人员拿着手持卡片逐一展示官方核验链接,用户扫出来是正常页面,风险提示消失,人群的情绪慢慢回落。自媒体还在拍,但已经拍不到“混乱”,只能拍到“他们在处理”。
真正的胜负不在你有没有被攻击,而在你被攻击后能不能把攻击变成证据。
1106,内控高岚的电话打进来。
她开门见山:“现场出现二维码覆盖贴,属于明确的信息安全事件。你把证据链发我,另外,把你上午固定的伪造内部纸张c-001也一起发。内控要把两条线串起来:外部攻击与内部资料流出是否同源。”
周砚答:“已固定。十分钟内给你。证据包含:贴纸实物封存编号、扫码跳转域名截图、风险提示截图、现场录像、登记表;c-001包含纸张照片、散发者行为录像、登记表。”
“散发者身份能锁吗?”高岚问。
“现场我们只做留痕,不做抓人。”周砚语气很稳,“身份锁定交给安保和警方。我只负责把事件写成可核验事实。”
高岚短促地“嗯”了一声:“对。你别越界,但你留痕留得够细,足够让别人去锁。”
1117,周砚把c-001、c-002两条证据链打包成“现场舆情与安全事件证据包(d5)”,生成哈希,上传共享盘,按清单逐项列出:图片、视频、登记表、扫码跳转域名、风险提示截图、封存编号照片。然后发给高岚,抄送梁总与安全部负责人。
邮件主题依旧硬:“开放日现场信息安全事件证据包(二维码覆盖贴c-002)+伪造资料散发证据包(c-001)――已固定可核验。”
1203,午间短暂空档。
周砚站到售楼处外场的阴影里,终于喝了一口水。冷水滑进喉咙,他才意识到自己从早上到现在几乎没停过。
王珊走过来,声音压得很低:“我收到消息,散发纸的人和贴二维码的人,不是同一波。散发纸的那个背包男走了,贴二维码的那个更隐蔽,是趁人多的时候贴的。安保回放外场摄像头,看到一个戴帽子的人靠近海报两次,但脸看不清。”
周砚没有表现出意外:“两条线同时打,才会让我们顾此失彼。对方要的不是单点破坏,是‘让你疲于奔命’,然后某一处出现失误,失误就能被放大成事故。”
王珊咬了咬牙:“那现在怎么办?下午还有一波到访,媒体可能会继续。”
“按流程走。”周砚语气平静,“海报区域先不恢复扫码,维持手持卡片;所有对外回应收口到核验路径;媒体接触全部登记,任何挑衅都不对话,直接引导到正式采访流程。我们只做两件事:提供核验,保留证据。”
1328,第二波到访开始。
人多了,噪音也更杂。夹克男又来挑衅,这次换了话题:“你们说你们数据可核验,那你们敢不敢说,通勤时间到底是多少分钟?别说区间,说一个数字!”
这是典型的“逼单点承诺”――一旦说出一个数字,就能被截取传播:“他们承诺xx分钟”。而通勤本来就受时段影响,任何单点都是风险。
接待台人员按卡片回应:“通勤时间按早高峰平峰晚高峰三个时间窗呈现区间,且提供实测视频与路线说明,不做单点承诺。您可按二维码核验实测证据。”
夹克男还想追:“你们不敢说数字,就是心虚!”
周砚在旁边只补了一句:“不说单点不是心虚,是负责。单点承诺对用户才是不负责。”
一句话,不多,不吵,但把“负责”这个词钉在对方“心虚”的叙事上。围观的用户反而有人点头:“也对,通勤本来就看时间。”
节奏没有被带走。
1506,确定预约数量继续增长。
运营同事把脱敏编号和到访时间段同步到共享盘,周砚看了一眼:确定预约新增到39条,且意向户型分布更均匀,咨询问题top5里“虚假引流”这个词已经掉出前五,取而代之的是“月供区间怎么算”“停车位怎么分配”“学区配套怎么走流程”――这才是“真实用户”的问题。
质疑还在,但关注点开始回到交易本身,说明信任正在恢复。
1611,梁总发来消息,短得像命令:“现场情况我都看了。证据链做得很好。内控已经把二维码覆盖贴定性为信息安全事件,会走外部报备。你继续盯结果线,别被内部扯住。”
周砚回:“明白。结果线不中断。”
他把这条消息截图归档。梁总的态度很关键:只要组织层面认可“继续交付”,对方就很难用“暂停”来掐死项目。
1734,安全部负责人发来更新:“弱电箱打开记录已核验,属于异常打开。行政孙xx今天下午请假未到公司。内控正在调孙xx近一周门禁轨迹与物业钥匙借用记录。另外,王xx昨晚临时提交离职申请,理由:个人原因。”
周砚看到“离职申请”四个字,眼神彻底冷下来。
这不是巧合,是撤退。
当链条开始被串起来,最先跑的永远是最容易被切割的那一环――助理、行政、外包、临时工。组织最擅长的就是把“结构化攻击”拆成“个体偶发违规”,让真相永远停在“无法确认”。
周砚没有急着回消息,他先把这条更新截图归档,标注“时间戳1736”。然后只回了一句:“请对王xx离职前的所有账号权限、设备、门禁进行立即冻结并封存,走内控流程,避免证据流失。”
安全部负责人回:“已执行,内控在做。”
1802,开放日收尾。
用户离场,接待台开始整理登记表,物料区清点剩余卡片。周砚把今天所有登记表编号拍照归档:媒体接触登记、用户投诉登记、资料交付登记、扫码核验引导记录――每一张纸都像一块拼图,拼成今天的现场全景。
王珊走过来,长长吐了口气:“今天算是扛住了。你知道吗?我们领导下午还跟我说,‘对方想搞事,但你们比他们更像专业团队’。”
周砚没有笑,只点头:“专业不在于不出事,专业在于出事后能把事变成证据、把风险变成流程。”
1910,车上。
周砚靠着座椅闭了十几秒,刚想让大脑空一空,手机又震了。不是内控,不是安全部,是一个陌生号码来电。
他接起,电话那头没有背景音,像刻意站在一个很空的地方,声音经过了压低处理:“你今天很能扛。二维码都敢报警备案。你以为你把证据交上去,就能保你自己?你知道组织最后怎么做吗?组织会选一个最顺手的解释。”
周砚握着手机,语气依旧平稳:“你是谁?”
对方低笑了一声:“你不需要知道我是谁。你只要知道,你再查下去,查出来的不会是你想要的那个人。到时候你会发现,你拼命留痕,留的是你自己的路。”
电话被挂断。
周砚盯着黑掉的屏幕,没有回拨。他按流程做了三件事:通话记录截图、号码截图、通话时间记录;并在共享盘“合规记录威胁骚扰”目录新建条目:202x-xx-xx陌生电话威胁(开放日后)。同时把“通话录音”打开,设置为以后所有陌生来电自动录音。
他知道,对方已经从“恐吓”升级到“暗示”:暗示组织会选他当承接点。
这种暗示不是空穴来风。越是大公司,越擅长用一句“管理不当”抹平结构性问题。
但周砚更清楚,他今天已经做了另一件事:把“事故”变成了“被攻击的证据链”。只要证据链足够硬,组织想用他当承接点,就会承担更高的风险成本――因为承接点一旦选错,甲方会看到裂缝。
2036,周砚回到家,没洗澡,先开电脑。
他把今天的结果线也整理成一份《开放日d5闭环日报》:到访人数、有效咨询、确定预约、问题top5、现场事件两条(c-001、c-002)及处置时间线、明日动作清单。导出pdf,生成哈希,上共享盘归档,邮件同步王珊与梁总。
邮件正文只有三段:
“1)开放日d5闭环数据已归档,确定预约新增至39条,时间段分布已更新,口径同前一致;
2)现场出现两起异常事件:伪造资料散发(c-001)与二维码覆盖贴信息安全事件(c-002),均已固定证据并处置收口,不影响现场承接;
3)d6动作清单:预约确认回访+社群持续答疑+核验路径维持手持卡片方案,保障节奏连续。”
发送成功,截图归档,更新合规清单。动作一如既往,没有情绪,也没有停顿。
2308,内控高岚发来一条消息:“明早0900,内控会议室。梁总会到。议题:阶段性结论与责任链条初步界定。你准备好‘事实时间线’和‘交付影响评估’两份材料,其他不要带。”
周砚看着那条消息,指尖停了两秒。
阶段性结论――这意味着内控要开始“切链”。切链的方式要么是把链条拉到足够高的位置,要么是把链条切断在某个“最容易解释”的节点。王xx离职、孙xx请假、监控缺口人为断电、远控残留、auto_input脚本、二维码覆盖贴――这些线索指向同一个结论:不是偶发,是组织化。
可组织化的东西,最难被组织承认。
周砚合上电脑,走到窗边。楼下的路灯把地面照得发白,像一张铺开的纸。纸上写什么,取决于明天会议室里谁先落笔。
他没有恐惧,也没有侥幸。
他只在心里把明天要说的第一句话过了一遍――不指责、不推测、不诉苦,只把时间线摆上桌:
“监控缺口是人为断电,弱电箱记录可核验;伪造资料与二维码覆盖贴在开放日现场同时出现,证据链可核验;项目交付通道在事件发生后仍保持连续,闭环日报可核验。请基于证据界定责任链条,避免以‘管理不当’替代事实。”
这不是辩解,这是把组织逼回规则里。
明天,会议室会更冷。
但他已经习惯了冷――冷,至少意味着有人开始认真看证据。_c