為什么要開展網絡釣魚演練

相信在甲方工作的信息安全工程師都知道，定期對公司員工進行安全意識培訓是我們的工作內容之一，目的也很明確，通過安全意識培訓來改變員工的不安全行為，降低人的風險。根據網絡安全問題起源數據分析，75%的安全事件是由人引起的，很大一部分原因是意識薄弱，弱口令、釣魚中招等；只有25%是跟技術相關，其中包括系統漏洞、配置缺陷以及業務邏輯缺陷等。

??

為了更好地認識企業的安全意識成熟程度，釣魚郵件測試是最好的評估手段，是驗證安全意識培訓效果最有效的方法之一，尤其是對于剛擔任公司的信息安全工程師，開展一次網絡釣魚能更快地認識公司人員的安全意識處于什么階段，從而有針對性的開展安全意識培訓。不試不知道，一試嚇一跳。

網絡釣魚那些事

1. 網絡釣魚現狀

在如今的互聯網環境中，網絡釣魚是個人、組織所面臨較大的安全威脅，員工被“釣魚”是不同規模組織的一大風險，因為對手會用惡意郵件和網站對用戶實施攻擊。

• 根據縱橫隨心郵與360行業安全研究中心的聯合監測評估，2019年全國企業郵箱用戶共收到各類釣魚郵件約344.3億封。全球每天大約有3000億封電子郵件被發送，其中90%是垃圾郵件和病毒郵件
• 超過90%的黑客攻擊和數據泄露源于網絡釣魚詐騙，已報告商業電子郵件欺詐(BEC)損失了超過125億美元，但已報告的網絡 犯罪數量僅占實際犯罪總數的10%至12%。

?[[336662]]?

2. 常見網絡釣魚攻擊類型

• CEO欺詐或商務郵件欺詐(BEC)——假裝公司的CEO或其他高管，向級別較低的員工(通常是會計或財務部門的員工)發送電子郵件，這些電子郵件的目的是獲取商業機密信息或讓受害者將資金轉移到一個虛假賬戶。
• 克隆網絡釣魚——利用受害者已經收到的合法信息，仿真創建一個惡意腳本，再以上一封電子郵件的鏈接有問題為由，要重新發送原始郵件，來誘導用戶點擊克隆的釣魚郵件。
• 域欺騙(Pharming)——偽造一個新的電子郵件頭，使它看起來像是來自一家合法公司的電子郵件地址。或者創建一個欺詐網站，讓它的域名看上去是合法的或與合法公司的域名相似。
• 魚叉式網絡釣魚(Spear phishing )——使用社交工程策略定制個性化電子郵件，發送給組織內的特定個人。攻擊者會使用電子郵件主題作為受害者感興趣的主題，以欺騙他們打開郵件并點擊鏈接或附件。
• 水坑攻擊(Watering Hole)——攻擊公司楊紅經常訪問的網站，感染其中一個網站并植入惡意軟件。當你或你的員工訪問該網站時，電腦會自動裝載惡意軟件，這樣攻擊者就能訪問你的網絡、服務器和敏感信息。
• 鯨釣攻擊(Whaling Attack)——是魚叉式釣魚的一種，與CEO欺詐相反。攻擊者的目的是高層管理人員，如CEO、CFO等，其目的是誘導高管輸入敏感信息和公司數據。

3. 常見網絡釣魚攻擊主題

• 財務類主題
• IT通知類主題
• 司法機關類詐騙
• 商業電子詐騙

4. 網絡釣魚危害

針對個人的網絡釣魚(Phishing)攻擊者利用欺騙性的電子郵件和偽造的web站點來進行網絡詐騙活動，受騙者往往會泄露自己的私人材料。欺詐者通常會將自己偽裝成網絡銀行、在線商城、快遞等可信品牌，騙取用戶的私人信息。

針對企業網絡釣魚(phshng)是在網絡上盜竊身份的一種形式，它使用誘騙性的電子郵件和欺騙性質的網站來引誘人們泄露公司內部系統的賬號和密碼，公司的賬戶和密碼，影響公司估值的CEO/CFO的個人信息，郵箱賬號、密碼等。盜取用戶資金、勒索公司，使公司蒙受經濟損失，上市公司還是影響股價。

網絡釣魚演練目的

合規驅動：

• 《網絡安全法》-第三十四條(二)規定，定期對從業人員進行網絡安全教育、技術培訓和技能考核。
• 《等保2.0》-6/7/8/9.1.7.3：應對各類人員進行安全意識教育和崗位技能培訓，并告知相關的安全責任和懲戒措施。
• 《關基安全保護條例》-第二十七條：運營者應當組織從業人員網絡安全教育培訓，每人每年教育培訓時長不得少于1個工作日，關鍵崗位專業技術人員每人每年教育培訓時長不得少于3個工作日。

提升信息安全意識：

• 識別與排列人為風險優先級，從而有針對性地對癥下藥
• 改變員工的不安全行為
• 降低人為風險
• 提升安全意識成熟度

開展網絡釣魚步驟

1. 網絡釣魚系統技術實現

釣魚郵件演練技術支持包括企業內部人員和外部供應商，以下對兩者的優劣性做對比

公司內部人員：

• 優點：對公司的公司文化、信息安全成熟度更加了解，對不同的人員發送針對性的釣魚郵件主題。成本低，重復利用率高，在一定程度上能提升安全人員的技術能力。
• 缺點：需要有一定技術能力的技術人員，包括釣魚郵件系統環境部署、前端頁面開發、數據匯總等能力。周期較長，內容效果難以保證。

外部供應商：

• 優點：能實現一定程度的定制化，在技術能力、行業前瞻性具有相當大的優勢，提供有保證的技術支持。
• 缺點：成本高，缺乏對企業特定威脅、崗位特點的深入理解;釣魚郵件系統重復利用率低，更換供應商后原來的舊系統可能不適用

綜上所述，可以基于過往演練效果、需求匹配度、交付與管理等方面綜合考慮，外部供應商選擇比較多，這里不展開闡述。若公司內部人員來實現，推薦一款釣魚郵件平臺采用開源系統gophish，前端頁面使用HTML+CSS+JavaScript等，效果非常不錯，易上手，0元玩轉釣魚郵件，這是老板最想要的，免費且好用。附上GitHub地址：

??https://github.com/gophish/gophish??

??

2. 設定郵件主題

• 冒充公司IT或行政部門發送釣魚郵件，面對對象：全員。
• 偽裝供應商、客戶發送釣魚郵件，面對對象：采購、銷售、行政。
• 偽造面試候選人發送釣魚郵件，面對對象：財務、法務、HR。

無論選擇哪個作為測試對象，都需要得到高層的同意。

3. 設定難度

• 一級釣魚攻擊——有很多指標可以很容易識別出是“釣魚郵件”
• 二級釣魚攻擊——基于公司信息或個人信息的郵件
• 三級釣魚攻擊——有指向性、針對性的釣魚攻擊
• 四級釣魚攻擊或魚叉式釣魚攻擊——具備個性化信息、商標、無拼寫錯誤等特征。

在企業開展演練時，需要注意以下幾點：

• 不能冒充公檢法相關監管單位，包括logo、電話、工作人員真實信息等
• 內容需要合規。郵件正文中不能發布、傳播反黨反社會輿論;不得侵犯商業秘密;不得非法獲取國家秘密;不得侵犯公民個人信息。
• 不能對公司現有系統造成損害，以此來竊取公司商業機密

4. 話術

發起釣魚郵件測試后，會收到員工的上報，我們需要統一話術，避免提前露餡，如：

5. 追蹤與統計

• 點擊人數
• 報告釣魚郵件攻擊的人數
• 點擊卻未報告的人數
• 點擊并報告的人數
• 未點擊也未報告的人數
• 未點擊卻報告的人數

以上數據可以在gophish上獲取，重點關注點擊率和上報率

6. 開展培訓

對本次釣魚郵件演練做復盤，展示上一步中的數據，對員工進行信息安全意識培訓

介紹常見的釣魚郵件類型以及該如何防范，收到釣魚郵件后上報的途徑

7. 重復

定期開展釣魚郵件測試，避免長時間后員工放低警惕性，對于入職的新員工，可能缺乏相關的信息安全意識培訓，通過真實的演練來提高信息安全意識

緊跟流行的釣魚郵件攻擊方式

在每次完成測試后與上一次測試做對比，檢驗員工的不安全行為是否得到改善。總結每次存在的不足以及需要改進的地方，避免在下一次測試出現同樣的問題。

網絡釣魚常見問題以及改進

1. 常見問題

• 過分注重員工的情緒及感受
• 高層領導是例外
• 內容造成員工不適，被迫中止測試
• 認為太多的訓練使人厭煩
• 員工直接刪除釣魚郵件
• 員工可能無法分辨釣魚郵件和正常郵件
• 員工不知道上報的途徑(尤其是新員工)
• 郵件可能會被自動識別成垃圾郵件，用戶不知道郵件的存在，會影響測試范圍。

?[[336663]]?

2. 對應措施

• 釣魚攻擊回歸現實，隨著時間推移來增加釣魚攻擊的“舉重砝碼”，但避免過于個人的主題。
• 根據當前釣魚的流行手段來安排釣魚攻擊訓練
• 提供一個可以報告可疑郵件的通道。
• 演練前需要與被測試部門或事業部負責人進行溝通，取得高層的授權。
• 在安全意識課程中加入釣魚郵件現狀以及如何識別釣魚郵件，強化對釣魚郵件的認知

總結

我們需要像攻擊者一樣進行釣魚攻擊測試，并根據當前流行的攻擊方式對員工進行測試，讓員工在測試中學會識別釣魚攻擊，避免遇到真正的網絡釣魚時上當受騙，并將釣魚攻擊和社會工程學納入安全意識培訓中。在開展釣魚攻擊演練前需要為組織單位設定合理的目標，該如何衡量這個目標。

以上是我對企業釣魚郵件演練的一些看法，希望能幫助到正在看這篇文章的你。若你有更好的觀點，可以給我留言，不吝賜教。愿我們能幫助公司最大程度地減少人為帶來的安全風險，守衛網絡安全這片凈土。