頻發(fā)的APT攻擊事件告訴我們，員工都是企業(yè)安全最薄弱的環(huán)節(jié)。在發(fā)起攻擊時(shí)，黑客往往采用社會(huì)工程學(xué)手段對(duì)目標(biāo)組織的員工下手，而這些手段中首當(dāng)其沖的就是郵件釣魚。據(jù)統(tǒng)計(jì)，約92%的數(shù)據(jù)泄露事件與社會(huì)工程學(xué)事件和魚叉式網(wǎng)絡(luò)釣魚攻擊有關(guān)。網(wǎng)絡(luò)釣魚攻擊通常是電子郵件釣魚，然后騙取受害者點(diǎn)擊惡意鏈接，最后使用惡意的漏洞Payload攻擊受害者計(jì)算機(jī)。換句話說，如果一個(gè)員工誤點(diǎn)擊惡意鏈接，黑客可能被盜取賬戶信息，或者電腦被人種上木馬，導(dǎo)致企業(yè)內(nèi)網(wǎng)因此淪陷，業(yè)務(wù)數(shù)據(jù)和敏感信息也會(huì)陷入巨大風(fēng)險(xiǎn)之中。

◆◆釣魚郵件測(cè)試方式◆◆

我們的測(cè)試工作從釣魚郵件構(gòu)造、郵件釣魚和安全意識(shí)教育等方面展開。釣魚郵件的模板中將設(shè)置若干相對(duì)明顯的偽造信息點(diǎn)，識(shí)別難度處于中等水平，測(cè)試著力于提高員工安全意識(shí)。

針對(duì)向內(nèi)外網(wǎng)郵箱發(fā)送釣魚郵件的需要，測(cè)試將在互聯(lián)網(wǎng)環(huán)境下搭建郵件服務(wù)器，通過該郵件服務(wù)器向測(cè)試郵箱列表中的內(nèi)網(wǎng) Notes 郵箱地址和互聯(lián)網(wǎng)郵箱地址發(fā)送釣魚郵件。

針對(duì)向受害員工進(jìn)行安全警示教育的需要，測(cè)試將分別在互聯(lián)網(wǎng)環(huán)境和內(nèi)網(wǎng)環(huán)境下搭建兩臺(tái)釣魚 Web 服務(wù)器。兩臺(tái)服務(wù)器目錄下均包括安全警示教育頁面文件、用戶訪問記錄文件、用戶訪問量統(tǒng)計(jì)文件等。

當(dāng)用戶點(diǎn)擊郵件中的 URL 鏈接并輸入用戶名密碼等信息進(jìn)行登陸操作、或者掃描支付二維碼并輸入金額進(jìn)行支付操作、或者下載并打開包含宏指令的文件時(shí)，將自動(dòng)轉(zhuǎn)向安全警示教育頁面。

◆◆測(cè)試過程◆◆

測(cè)試通過發(fā)送釣魚郵件給用戶，誘導(dǎo)用戶點(diǎn)擊郵件中的URL 鏈接、或者掃描二維碼、或者下載文件，連接到釣魚 Web 服務(wù)器。釣魚 Web 服務(wù)器上部署Web 站點(diǎn)，并記錄用戶訪問時(shí)的信息。

在具體的測(cè)試中有下面四個(gè)步驟：

1、通過搭建郵件服務(wù)器，向內(nèi)網(wǎng) Notes 郵箱及互聯(lián)網(wǎng)郵箱的個(gè)人用戶群發(fā)釣魚郵件。
2、用戶點(diǎn)擊 URL 鏈接、或者掃描二維碼、或者下載文件，將彈出參與測(cè)試的告知信息，并記錄受害者人數(shù)等相關(guān)信息。
3、受害員工鏈接自動(dòng)重定向至社會(huì)工程警示教育頁面，進(jìn)行約 5 分鐘的安全意識(shí)培訓(xùn)。
4、進(jìn)行測(cè)試數(shù)據(jù)統(tǒng)計(jì)分析。

◆◆測(cè)試判斷標(biāo)準(zhǔn)◆◆

1、是否已訪問郵件中釣魚網(wǎng)站的 URL 并輸入用戶名、密碼等信息進(jìn)行登陸操作；是否掃描了偽造的支付二維碼并輸入金額進(jìn)行支付操作；是否下載并打開了釣魚郵件中包含宏指令的 Word、Excel 等附件。

2、根據(jù)設(shè)計(jì)的釣魚網(wǎng)站（安全意識(shí)教育頁面）的訪問量，來判斷相關(guān)釣魚實(shí)際觸發(fā)的數(shù)量級(jí)。

◆◆釣魚郵件模板◆◆

本次測(cè)試的釣魚模板包括釣魚郵件模板設(shè)計(jì)和安全警示教育頁面模板設(shè)計(jì)，針對(duì)釣魚郵件的測(cè)試場(chǎng)景需要，可設(shè)計(jì)以下幾種釣魚郵件模板：

1、URL 鏈接釣魚郵件模板：

該模板將仿冒促銷活動(dòng)的推送郵件，郵件模板包含以下內(nèi)容：
1）介紹活動(dòng)情況；
2）設(shè)置可跳轉(zhuǎn) URL 或者文字超鏈接，點(diǎn)擊鏈接登錄了解活動(dòng)詳情；

注：該釣魚郵件的鏈接頁面將仿冒登錄頁面，通過后臺(tái)程序判斷用戶是否輸入用戶名密碼并點(diǎn)擊登錄按鈕的方式判定用戶是否被釣魚成功。釣魚過程中不收集用戶的用戶名、密碼等信息。

2、二維碼掃描釣魚郵件模板：

該模板將仿冒 1 元觀影活動(dòng)的推送郵件，郵件模板包含以下內(nèi)容：
1）介紹活動(dòng)情況；
2）郵件中填充可供掃描的支付二維碼，微信掃描二維碼完成支付；

注：該釣魚郵件的二維碼鏈接頁面將仿冒微信轉(zhuǎn)賬的支付頁面，通過后臺(tái)程序判斷用戶是否輸入轉(zhuǎn)賬金額并點(diǎn)擊確認(rèn)支付按鈕的方式判定用戶是否被釣魚成功。釣魚過程中不進(jìn)行收付款行為，不收集用戶微信號(hào)等個(gè)人信息。

3、文件下載釣魚郵件模板：

該模板將仿冒滿意度調(diào)查的通知郵件，郵件模板包含以下內(nèi)容：
1）通知開展?jié)M意度調(diào)查；
2）郵件附件為調(diào)查問卷的Word 或 Excel 文檔，下載附件后查看調(diào)查問卷內(nèi)容和具體操作步驟；

注：該釣魚郵件的附件中將添加自動(dòng)打開釣魚鏈接的宏指令。通過判斷用戶是否下載并打開包含宏指令的文件的方式判定用戶是否被釣魚成功。附件中的宏指令僅包含自動(dòng)打開釣魚鏈接的功能，不包含宏病毒。

測(cè)試同時(shí)需要設(shè)計(jì)安全意識(shí)教育頁面模板，以對(duì)受害員工進(jìn)行安全意識(shí)教育。安全意識(shí)教育將通過大量的典型安全事件導(dǎo)入，從感性認(rèn)知層面對(duì)目前的信息安全威脅、社會(huì)工程學(xué)攻擊形式給予直觀、形象的描述，使員工能對(duì)當(dāng)前信息安全威脅有一個(gè)深刻的認(rèn)識(shí)；同時(shí)通過案例介紹的方式，對(duì)目前流行的社會(huì)工程學(xué)攻擊手段進(jìn)行分析，并闡明具體的防范措施。

Tips
風(fēng)險(xiǎn)控制：
a、釣魚郵件不含任何病毒、蠕蟲、后門等惡意程序代碼，不執(zhí)行任何對(duì)系統(tǒng)有影響的操作。
b、釣魚郵件不收集賬號(hào)、密碼等個(gè)人信息。

國(guó)際知名電子郵件安全專家Softnext守內(nèi)安的郵件歸檔、郵件網(wǎng)關(guān)，對(duì)郵件進(jìn)行加密、歸檔、審計(jì)管理，防病毒，層層過濾郵件威脅，降低企業(yè)被入侵風(fēng)險(xiǎn)。

總結(jié)

以上是生活随笔為你收集整理的如何对钓鱼邮件安全意识淡薄的员工进行教育培训的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。