06:28,天色还没完全亮开,周砚已经站在楼下的便利店门口,手里拎着一个透明文件袋,袋里是昨晚打印好的三样东西:现场海报(V1.0)、核验说明卡片(V1.0)、以及《现场应对卡(V1.0)》——每一份纸质材料右下角都带着版本号、生成时间、哈希值的短码,旁边还有一枚淡红色的“项目归档”印章印痕。
印章不是为了好看,是为了让纸张也能“可追溯”。
他把文件袋的封条重新压平,黑色签字笔在封条上补了一个小小的斜线,标注“06:31未拆封”。然后才推门上车,导航目的地:熙湖云庭售楼处。
车窗外的城市还处在半醒状态,路灯没全熄,天边却已经泛出薄薄的灰蓝。周砚在车里打开共享盘,快速扫了一眼昨夜更新的《开放日现场风险清单(V1.1)》,确认每条应对动作都已落到责任人:接待台、物料区、扫码核验区、社群承接区、媒体接触登记点——每一个点位都有人、都有话术、都有留痕方式。
他不怕质疑,他怕的是“不可留痕的混乱”。
07:19,售楼处外场已经有人在搬物料。王珊比他更早到,穿着一件浅色风衣,手里拿着一张现场动线图,看到周砚就直接切入主题:“自媒体那边我已经确认了,会来三个人,一个拍视频,一个问问题,一个在旁边煽动。我们领导要求:现场必须能做到‘不对抗、不退缩’,所有回应都要能被录下来还站得住。”
周砚点头,把透明文件袋放到接待台边缘,没急着拆封:“第一件事,先做‘物料验真’。海报、卡片、二维码,必须在上墙前拍照留痕,确认版本号、哈希短码一致。任何人拿来的替换件,一律不收。”
王珊愣了一下,随即反应过来:“你担心有人换海报?”
“换海报不是目的。”周砚语气平静,“换二维码才是目的。现场只要出现一个被替换的扫码入口,数据核验路径就会被引导到未知页面,轻则造成舆情‘你们挂钩子’,重则变成信息安全事故。今天对方既然敢放话,就不会只靠嘴。”
王珊没再犹豫,立刻叫来现场负责人:“所有海报扫码先别贴,周砚要做验真拍照。”
07:33,周砚拆封。
他把海报平铺在接待台上,先用手机拍下全景,再拍右下角版本号与哈希短码,最后把二维码区域单独拍一张特写。拍完,他打开手机的扫码工具,现场扫一次,确认跳转的链接域名与共享盘公开页一致;再用另一台手机扫一次,确认结果一致;最后让王珊也扫一次——三重核验。
“上墙。”周砚把海报递给物料人员,“贴完别动,贴完再拍一张带环境的全景照。”
核验说明卡片同样流程:拍照、扫码、确认域名、确认跳转页面内容、确认隐私告知可见。每一步都像在走审计抽检,没有任何“差不多就行”。
08:04,第一批到访用户进场。
接待台的工作人员按《现场应对卡》执行:先引导扫码核验路径,再由工作人员发放说明卡片,最后引导到样板间或讲解区。用户问“你们数据是真的假的”,接待台只重复一句话——不是敷衍,是把话术收口到最小:
“数据口径、来源、证据路径都在二维码里,欢迎核验。我们不做单点承诺,只做可核验说明。”
一个用户笑了:“你们这话怎么像律师说的。”
接待台人员没接笑话,只把卡片递过去:“您按路径核验,任何问题都可以登记,我们会记录并回访。”
周砚站在接待台后半步的位置,眼睛不盯用户脸,只盯流程点位:扫码区有没有人私自递纸、物料区有没有人靠近海报、媒体登记表有没有人在写、摄像头有没有开。
他知道,真正的风险不在提问,在“被引导的场景”。
08:37,自媒体到了。
三个人,和王珊描述的一样:一个拿着稳定器拍全景,一个背着双肩包不停环顾,一个穿着短款夹克、脖子上挂着小蜜蜂麦克风,径直走向接待台,开口就把火药味塞进句子里:
“你们是不是搞虚假引流?网上有人说你们拿假数据骗大家进群,现在还敢搞开放日,你们有没有胆子承认?”
现场几个用户下意识停住脚步,有人开始掏手机。
王珊按预案站出来,语气克制但不软:“欢迎核验。我们所有对外信息都采用‘区间+来源+实测证据’呈现,不做未经核验的单点承诺。资料清单与来源路径已公开,您可以现场扫码核验。我们欢迎合理质疑,也欢迎用证据核验结果。”
夹克男不接“核验”,直接切到更容易引爆情绪的词:“你们说不做单点承诺,那你们群里是不是收集了大家的手机号?有没有泄露?你们是不是拿用户信息去卖?”
这句话很狠,狠在它能一秒触发“隐私恐惧”。
周砚没有出面抢话,他只把《媒体接触登记表》递给旁边负责登记的同事,轻声提醒:“开始记录,时间、账号、问题点、回应内容、拍摄行为,全部记。”
登记同事立刻在表上写:08:39,自媒体三人,问题点=虚假引流/个人信息。
王珊按卡片口径继续:“用户信息仅收集必要字段并经明示同意,且全程脱敏编号管理。现场登记只保留必要字段,隐私告知在二维码里可查看。”
夹克男挑眉:“你说得轻巧。那你敢不敢把你们后台拿出来给我看?你们说脱敏就脱敏?谁知道你们背后怎么做的。”
这一步就是诱导“越界展示”。一旦现场展示后台、展示内部系统界面,随便被截一段屏,就能被剪成“你们在查用户信息”“你们系统不合规”。
周砚终于开口,声音不大,却足够清晰:“后台不对外展示,这是公司合规要求。核验路径只提供对外公开证据与口径说明,不包含任何个人信息。您如果需要进一步核验,请提交书面采访函,由甲方指定发言人统一回应。”
夹克男看向周砚,眼睛眯了一下:“你是谁?你凭什么不让看?你是不是心虚?”
周砚没有自报身份,他只把边界钉住:“不展示后台不是心虚,是合规。您可以继续核验公开证据,也可以走正式采访流程。现场我们只做可核验说明。”
他不争辩、不解释动机,只把选择权丢回去:要么核验,要么走流程。这样对方就很难把他拉进“吵架”的戏里。
08:55,夹克男换打法。
他退后半步,朝旁边背包男使了个眼色。背包男立刻从包里抽出一叠A4纸,像变戏法一样,开始往排队的人群里塞:“来看看他们内部表格!你们看,这里写的跟现场讲的不一样!他们自己内部承认数据是做出来的!”
人群瞬间躁动起来。有人接过纸,低头一看就开始皱眉:“这是真的假的?”
周砚的脊背一寸寸绷紧,但他没有冲上去抢纸——抢纸会被拍成“毁证据”,也会造成肢体冲突,最容易上热搜。
他做了三个动作,每一个都按预案、且更快:
第一,留痕:他对运营同事打了个手势,运营立刻用手机从侧面开始全程录像,镜头对准“发纸的人”“纸张内容”“接纸的人反应”,同时把时间显示在画面里;
第二,收口:接待台人员按口径重复一句:“不讨论未经核验的纸张与截图,证据核验路径在二维码里,欢迎扫码核验”,并引导用户走向核验区;
第三,隔离:现场安保按王珊的指令上前,语气礼貌但坚定:“现场禁止散发未经核验资料,请停止。若要投诉请到登记处。”
背包男故意提高音量:“你们看!他们怕了!他们不让看!”
周砚没有动怒,只朝王珊低声说了一句:“把这叠纸收集一份,别抢,走‘用户自愿交付’。让登记处说:如果愿意协助核验,请把纸交给我们,登记编号,我们会给出核验结果并回访。”
王珊立刻对登记处下达:“把收集到的纸做编号封存,写明来源,拍照存档。”
一分钟后,一个现场用户走过来,把手里的纸递给登记处:“你们核验一下吧,我不想被忽悠。”
登记处工作人员当场在纸右上角盖了一个编号章:C-001,拍照,写下交付人脱敏编号U-017,时间09:02。
周砚看着那叠纸的第一页,心里冷了一截:那是一份所谓“口径调整建议_内部”,标题和内控邮件里提到的文件名极其接近,但内容明显经过拼接——几处数据区间被改成单点数字,几句“建议谨慎措辞”被剪成“承认数据造假”,最后还附了一段极具煽动性的“内部承认”结论。
这是剪辑式伪造,专门用来点燃情绪。
视野边缘,蓝色面板亮起,字色冰冷:
【现场攻击落地:伪造内部资料+人群扩散=制造不可控舆情】
【应对关键:不争真假,先固定证据;不解释动机,只提供核验结论与核验路径】
09:14,周砚把C-001纸张拍照上传到共享盘“合规记录/现场舆情”目录,命名标准到毫厘:202X-XX-XX 开放日 伪造资料散发 C-001(图片/视频/登记表)。同时生成一个“现场事件记录单”,写明时间线:
08:55 自媒体到场提问;
08:58 背包男开始散发纸质资料;
09:02 登记处收集纸张样本C-001;
09:05 安保礼貌劝止散发;
09:10 核验区引导用户扫码核验;
09:12 现场秩序恢复。
他不急着给“真相”下结论,他先把“发生过什么”写成不可否认的事实。
09:27,安全部负责人给周砚发来一条短消息:“内控确认,散发的那份纸内容与阿远工作站里的‘口径调整建议_内部’有高度相似,但有明显篡改痕迹。正在比对版本差异。”
周砚只回了两个字:“留痕。”
他把消息截图归档,作为“内部比对正在进行”的佐证。
09:43,更隐蔽的一刀来了。
核验区突然有用户喊了一句:“咦,你们这个二维码扫出来怎么是一个空白页面?我手机还提示风险链接。”
现场立刻又开始窃窃私语。夹克男抓住机会冲上来:“看!你们二维码是钓鱼的吧?你们说公开核验,结果链接还风险!这不是骗局吗?”
周砚眼神瞬间沉下去。
他昨天最担心的就是这件事:二维码被替换,或者跳转被劫持。可海报他做过三重核验,贴完也拍照留痕,理论上不该出问题。
他没有当场解释,直接走到海报前,自己掏手机扫码——页面正常,域名正确,隐私告知可见,没有任何风险提示。
第二台手机扫码——也正常。
可刚才那个用户的手机提示风险链接,说明至少存在一种情况:要么用户扫的不是海报上的二维码,要么有人给他递了“另一张二维码卡片”,要么对方在现场贴了一个很像的“覆盖贴”。
周砚的目光快速扫过海报四周,果然在海报左下角发现了一张透明的薄膜贴纸——贴纸边缘处理得很细,远看像是海报覆膜的一部分,但贴纸上的二维码位置正好覆盖了原二维码的一角,形成“扫谁都可能扫到贴纸码”的效果。
这不是替换海报,是“局部覆盖”。
周砚没有伸手去撕——撕掉的动作会被对方拍成“毁证据”。他做了最冷静也最有效的动作:拿出手机,先拍全景,再拍贴纸特写,把贴纸的边缘、覆盖位置、二维码图案拍清楚,最后用另一台手机扫贴纸二维码,记录跳转域名与风险提示界面。
跳转页面是一个空白的仿站页面,域名看起来像官方域名的拼写变体,且页面底部有一个“提交手机号领取资料”的输入框。
这不是舆情,这是信息安全攻击。
周砚心里一沉,但声音仍然稳:“王珊,按预案执行。核验区立刻暂停扫码,改为工作人员手持官方链接二维码卡片一对一展示;现场安保把这个区域拉开,禁止任何人靠近海报。登记处记录‘二维码覆盖贴’事件,编号封存。”
王珊脸色瞬间变了,但她没有慌,立刻执行:“大家先别扫海报,我们这边给官方核验链接,放心。安保,拉线!”
夹克男还想冲:“你们心虚了吧?二维码钓鱼还敢说公开核验?”
周砚抬头看他,只说一句:“我们已经固定证据并报警备案,钓鱼链接不是我们的,是现场被恶意覆盖。你继续传播不实信息,我们会按流程提交平台与警方。”
“报警备案”四个字,比任何争吵都更有压制力。夹克男的表情僵了一下,明显没想到周砚敢把事往更高一级的合规路径推。
周砚没给他继续表演的空间,转身对登记处说:“把贴纸封存编号,C-002。记录发现时间、发现人、覆盖位置、扫码跳转结果、风险提示截图。现场所有二维码展示改为手持卡片,且卡片版本号必须可见。”
登记处立刻执行,安保把海报区域隔离。运营同事全程录像留痕,镜头里清清楚楚:贴纸覆盖、扫码跳转、风险提示、封存编号。
10:02,王珊的领导打来电话。
王珊开免提,领导的声音压着火:“现场怎么回事?自媒体说你们二维码钓鱼,已经有人在群里发短视频了!你们能不能稳住?”
王珊还没开口,周砚先把手机递给她看——手机屏幕上是C-002事件记录单的实时文档,以及贴纸二维码跳转的域名截图、风险提示截图、封存编号照片。
王珊立刻对领导说:“不是我们钓鱼,是现场被恶意覆盖二维码。我们已固定证据,编号封存C-002,已按预案切换为手持官方链接核验,不再让用户扫海报。我们会同步内控与安全部,走信息安全事件流程。”
领导沉默了两秒,声音明显冷下来:“证据留好。不要在现场吵。让用户看到你们在处理,不要让节奏跑到自媒体手里。”
“明白。”王珊答。
电话挂断后,王珊看向周砚,压着声音:“你早就预判会有人换二维码?”
“不是预判,是风险清单里必然存在的一项。”周砚把话说得很平,“他们要制造‘你们不可信’,最快的方式就是让核验路径本身出问题。只要核验路径出问题,再真也会被说成假。”
10:28,现场恢复秩序。
用户被引导到核验区,工作人员拿着手持卡片逐一展示官方核验链接,用户扫出来是正常页面,风险提示消失,人群的情绪慢慢回落。自媒体还在拍,但已经拍不到“混乱”,只能拍到“他们在处理”。
真正的胜负不在你有没有被攻击,而在你被攻击后能不能把攻击变成证据。
11:06,内控高岚的电话打进来。
她开门见山:“现场出现二维码覆盖贴,属于明确的信息安全事件。你把证据链发我,另外,把你上午固定的伪造内部纸张C-001也一起发。内控要把两条线串起来:外部攻击与内部资料流出是否同源。”
周砚答:“已固定。十分钟内给你。证据包含:贴纸实物封存编号、扫码跳转域名截图、风险提示截图、现场录像、登记表;C-001包含纸张照片、散发者行为录像、登记表。”
“散发者身份能锁吗?”高岚问。
“现场我们只做留痕,不做抓人。”周砚语气很稳,“身份锁定交给安保和警方。我只负责把事件写成可核验事实。”
高岚短促地“嗯”了一声:“对。你别越界,但你留痕留得够细,足够让别人去锁。”
11:17,周砚把C-001、C-002两条证据链打包成“现场舆情与安全事件证据包(D5)”,生成哈希,上传共享盘,按清单逐项列出:图片、视频、登记表、扫码跳转域名、风险提示截图、封存编号照片。然后发给高岚,抄送梁总与安全部负责人。
邮件主题依旧硬:“开放日现场信息安全事件证据包(二维码覆盖贴C-002)+伪造资料散发证据包(C-001)——已固定可核验。”
12:03,午间短暂空档。
周砚站到售楼处外场的阴影里,终于喝了一口水。冷水滑进喉咙,他才意识到自己从早上到现在几乎没停过。
王珊走过来,声音压得很低:“我收到消息,散发纸的人和贴二维码的人,不是同一波。散发纸的那个背包男走了,贴二维码的那个更隐蔽,是趁人多的时候贴的。安保回放外场摄像头,看到一个戴帽子的人靠近海报两次,但脸看不清。”
周砚没有表现出意外:“两条线同时打,才会让我们顾此失彼。对方要的不是单点破坏,是‘让你疲于奔命’,然后某一处出现失误,失误就能被放大成事故。”
王珊咬了咬牙:“那现在怎么办?下午还有一波到访,媒体可能会继续。”
“按流程走。”周砚语气平静,“海报区域先不恢复扫码,维持手持卡片;所有对外回应收口到核验路径;媒体接触全部登记,任何挑衅都不对话,直接引导到正式采访流程。我们只做两件事:提供核验,保留证据。”
13:28,第二波到访开始。
人多了,噪音也更杂。夹克男又来挑衅,这次换了话题:“你们说你们数据可核验,那你们敢不敢说,通勤时间到底是多少分钟?别说区间,说一个数字!”
这是典型的“逼单点承诺”——一旦说出一个数字,就能被截取传播:“他们承诺XX分钟”。而通勤本来就受时段影响,任何单点都是风险。
接待台人员按卡片回应:“通勤时间按早高峰/平峰/晚高峰三个时间窗呈现区间,且提供实测视频与路线说明,不做单点承诺。您可按二维码核验实测证据。”
夹克男还想追:“你们不敢说数字,就是心虚!”
周砚在旁边只补了一句:“不说单点不是心虚,是负责。单点承诺对用户才是不负责。”
一句话,不多,不吵,但把“负责”这个词钉在对方“心虚”的叙事上。围观的用户反而有人点头:“也对,通勤本来就看时间。”
节奏没有被带走。
15:06,确定预约数量继续增长。
运营同事把脱敏编号和到访时间段同步到共享盘,周砚看了一眼:确定预约新增到39条,且意向户型分布更均匀,咨询问题Top5里“虚假引流”这个词已经掉出前五,取而代之的是“月供区间怎么算”“停车位怎么分配”“学区配套怎么走流程”——这才是“真实用户”的问题。
质疑还在,但关注点开始回到交易本身,说明信任正在恢复。
16:11,梁总发来消息,短得像命令:“现场情况我都看了。证据链做得很好。内控已经把二维码覆盖贴定性为信息安全事件,会走外部报备。你继续盯结果线,别被内部扯住。”
周砚回:“明白。结果线不中断。”
他把这条消息截图归档。梁总的态度很关键:只要组织层面认可“继续交付”,对方就很难用“暂停”来掐死项目。
17:34,安全部负责人发来更新:“弱电箱打开记录已核验,属于异常打开。行政孙XX今天下午请假未到公司。内控正在调孙XX近一周门禁轨迹与物业钥匙借用记录。另外,王XX昨晚临时提交离职申请,理由:个人原因。”
周砚看到“离职申请”四个字,眼神彻底冷下来。
这不是巧合,是撤退。
当链条开始被串起来,最先跑的永远是最容易被切割的那一环——助理、行政、外包、临时工。组织最擅长的就是把“结构化攻击”拆成“个体偶发违规”,让真相永远停在“无法确认”。
周砚没有急着回消息,他先把这条更新截图归档,标注“时间戳17:36”。然后只回了一句:“请对王XX离职前的所有账号权限、设备、门禁进行立即冻结并封存,走内控流程,避免证据流失。”
安全部负责人回:“已执行,内控在做。”
18:02,开放日收尾。
用户离场,接待台开始整理登记表,物料区清点剩余卡片。周砚把今天所有登记表编号拍照归档:媒体接触登记、用户投诉登记、资料交付登记、扫码核验引导记录——每一张纸都像一块拼图,拼成今天的现场全景。
王珊走过来,长长吐了口气:“今天算是扛住了。你知道吗?我们领导下午还跟我说,‘对方想搞事,但你们比他们更像专业团队’。”
周砚没有笑,只点头:“专业不在于不出事,专业在于出事后能把事变成证据、把风险变成流程。”
19:10,车上。
周砚靠着座椅闭了十几秒,刚想让大脑空一空,手机又震了。不是内控,不是安全部,是一个陌生号码来电。
他接起,电话那头没有背景音,像刻意站在一个很空的地方,声音经过了压低处理:“你今天很能扛。二维码都敢报警备案。你以为你把证据交上去,就能保你自己?你知道组织最后怎么做吗?组织会选一个最顺手的解释。”
周砚握着手机,语气依旧平稳:“你是谁?”
对方低笑了一声:“你不需要知道我是谁。你只要知道,你再查下去,查出来的不会是你想要的那个人。到时候你会发现,你拼命留痕,留的是你自己的路。”
电话被挂断。
周砚盯着黑掉的屏幕,没有回拨。他按流程做了三件事:通话记录截图、号码截图、通话时间记录;并在共享盘“合规记录/威胁骚扰”目录新建条目:202X-XX-XX 陌生电话威胁(开放日后)。同时把“通话录音”打开,设置为以后所有陌生来电自动录音。
他知道,对方已经从“恐吓”升级到“暗示”:暗示组织会选他当承接点。
这种暗示不是空穴来风。越是大公司,越擅长用一句“管理不当”抹平结构性问题。
但周砚更清楚,他今天已经做了另一件事:把“事故”变成了“被攻击的证据链”。只要证据链足够硬,组织想用他当承接点,就会承担更高的风险成本——因为承接点一旦选错,甲方会看到裂缝。
20:36,周砚回到家,没洗澡,先开电脑。
他把今天的结果线也整理成一份《开放日D5闭环日报》:到访人数、有效咨询、确定预约、问题Top5、现场事件两条(C-001、C-002)及处置时间线、明日动作清单。导出PDF,生成哈希,上共享盘归档,邮件同步王珊与梁总。
邮件正文只有三段:
“1)开放日D5闭环数据已归档,确定预约新增至39条,时间段分布已更新,口径同前一致;
2)现场出现两起异常事件:伪造资料散发(C-001)与二维码覆盖贴信息安全事件(C-002),均已固定证据并处置收口,不影响现场承接;
3)D6动作清单:预约确认回访+社群持续答疑+核验路径维持手持卡片方案,保障节奏连续。”
发送成功,截图归档,更新合规清单。动作一如既往,没有情绪,也没有停顿。
23:08,内控高岚发来一条消息:“明早09:00,内控会议室。梁总会到。议题:阶段性结论与责任链条初步界定。你准备好‘事实时间线’和‘交付影响评估’两份材料,其他不要带。”
周砚看着那条消息,指尖停了两秒。
阶段性结论——这意味着内控要开始“切链”。切链的方式要么是把链条拉到足够高的位置,要么是把链条切断在某个“最容易解释”的节点。王XX离职、孙XX请假、监控缺口人为断电、远控残留、auto_input脚本、二维码覆盖贴——这些线索指向同一个结论:不是偶发,是组织化。
可组织化的东西,最难被组织承认。
周砚合上电脑,走到窗边。楼下的路灯把地面照得发白,像一张铺开的纸。纸上写什么,取决于明天会议室里谁先落笔。
他没有恐惧,也没有侥幸。
他只在心里把明天要说的第一句话过了一遍——不指责、不推测、不诉苦,只把时间线摆上桌:
“监控缺口是人为断电,弱电箱记录可核验;伪造资料与二维码覆盖贴在开放日现场同时出现,证据链可核验;项目交付通道在事件发生后仍保持连续,闭环日报可核验。请基于证据界定责任链条,避免以‘管理不当’替代事实。”
这不是辩解,这是把组织逼回规则里。
明天,会议室会更冷。
但他已经习惯了冷——冷,至少意味着有人开始认真看证据。