deiabarbosa/iscafina
GitHub: deiabarbosa/iscafina
Iscafina 是一款零依赖的浏览器钓鱼防范意识训练游戏,通过模拟真实通信场景帮助用户学习识别各类钓鱼和社会工程学攻击。
Stars: 0 | Forks: 0
# Iscafina
**[🎮 立即游玩](https://deiabarbosa.github.io/iscafina/)**



## 项目简介
**Iscafina** 是一款巴西钓鱼攻击防范意识模拟器。你会收到各种逼真的消息——Outlook 邮件、银行短信、“亲戚”发来的 WhatsApp——并且只有几秒钟的时间来指出可疑信号。每次点击都会揭示它*为什么*是(或不是)危险信号(red flag)。
**与众不同之处**:没有残酷的 game over。如果时间耗尽,就会变成一堂教学课。如果犯了错,你也会从中学习。核心重点是**训练观察力**,而不是与任何全球排行榜竞争。
## 运作方式
- **12 个真实场景**,分为 3 个难度级别
- **3 种渠道**:Outlook(电子邮件)、WhatsApp、SMS——每种都有高度还原的应用程序模型
- **3 个级别**:
- **实习生(Estagiário)**——每个场景 90 秒,经典且明显的骗局
- **分析师(Analista)**——60 秒,社会工程学、相似域名、虚假客服
- **CISO**——45 秒,BEC(商业电子邮件妥协)、鱼叉式钓鱼、细微的信号
- **学习模式**——无计时器,无惩罚,供你在挑战前学习
- **教育性反馈**——每识别出一个危险信号,都会弹出由专业人士撰写的解释
## 段位系统
你的准确率将解锁相应的段位:
| 准确率 | 段位 |
|---|---|
| ≥ 90% | 精准诱饵猎手 |
| 70–89% | 安全分析师 |
| 50–69% | 观察受训者 |
| < 50% | 潜在目标 |
## 11 项可解锁成就
- 初次狩猎 · 关卡 X 完美通关 · CISO 段位 · 骗局多语者 · 纯粹直觉(无提示)· 精准手术(无误报)· 闪电侠 · 学者 · 传播者(分享游戏)· 以及更多。
## 无障碍设计
- **键盘导航**:`H` 请求提示 · `空格键` 向前推进 · `Esc` 菜单 · `1–4` 选择
- **高对比度**,可在设置中切换
- **可选音效**(opt-in)
- 遵循 **`prefers-reduced-motion`**——如果你在系统中禁用了动画,游戏也会同样遵循
- **跳转链接**,可直接跳转至主要内容
- 模态框中使用 **ARIA labels** 和 `role="dialog"`
- **无需注册**——除了本地进度(localStorage)外,不保留任何数据
## 分享
在游戏结束时,报告会显示你的得分、准确率、段位和耗时。你可以选择 **3 种基调**将其分享到 LinkedIn:专业、轻松或励志。格式化后的文本将被复制到剪贴板——只需使用 Ctrl+V 粘贴到 LinkedIn 即可。
## 技术
- **单个 `index.html` 文件**(约 112KB,2100 多行 HTML+CSS+JS)
- **零依赖**,零构建,零后端
- 纯 **Vanilla JS**
- 使用 **Web Audio API** 合成音效(无需 MP3)
- **Google Fonts**:Instrument Serif(展示)+ Space Grotesk(标题)+ Inter(正文)+ JetBrains Mono(技术)
- 使用 **CSS custom properties** 设置主题
- 使用 **localStorage** 存储成就、教程观看记录、高对比度和音效偏好
## 本地运行
```
git clone https://github.com/deiabarbosa/iscafina.git
cd iscafina
# 在浏览器中打开 index.html
```
无需服务器——这是一个纯粹的静态文件。
## 涵盖场景
**级别 1 — 实习生**
- 虚假银行短信,制造人为紧迫感
- “亲戚”发来的 WhatsApp,使用新号码要求 PIX 转账
- 意外中奖邮件,带有可疑域名
- “Correios(巴西邮政)”发来的短信,要求支付关税
**级别 2 — 分析师**
- “HR”发来的电子邮件,包含 .zip 附件和紧迫的截止日期
- “银行中心”发来的 WhatsApp,索要 SMS 验证码
- “Instagram 验证”发来的短信,带有虚假链接
- “供应商”发来的电子邮件,要求更改银行账户
**级别 3 — CISO**
- “CEO”的 BEC 攻击,使用同形异义域名(`i` 被替换为 `l`)
- “同事”发来的 WhatsApp,索要验证码
- “Teams”发来的电子邮件,带有反转的 URL(`teams-microsoft.live`)
- “招聘人员”发来的 WhatsApp,提供薪水高得离谱的职位
每个场景都有 3-7 个危险信号和 1-2 个“假诱饵”(看起来很可疑但实际上合法的元素——点击它们能教你并非所有东西都是骗局)。
## 教学法基础
- **无惩罚学习**——计时器到期?那是上课,不是失败。
- **主动回忆**——每次点击,即时反馈都会解释原因。
- **意义渐进**——随着信号变得更加细微(如包含替换字符的域名、利用层级关系的社会工程学),难度也会增加。
- **误报教育**——点击合法内容会揭示为什么该元素本身过于微妙,不足以成为危险信号。
## 许可证
MIT——随意使用、修改、分享。
## 致谢
由 **Andréa Barbosa Araújo** 制作。
场景和解释灵感来源于银行、PROCON、gov.br 报告的真实巴西骗局以及国家网络安全相关内容。
标签:HTML单页应用, 后端开发, 多模态安全, 安全教育, 无依赖, 社会工程学防范, 钓鱼演练