尊敬的用户你好:系统监测到您的帐号近日有异地登陆情况,请及时完成身分查证…
相信你们上周都陆陆续续收到了一封主题为“账户异常告警”的短信。邮件内容是关于帐号异地登陆,需要核对个人身分信息的警告信息,部分关心“账号安全”的朋友马上根据警告短信的提示引导填写大量个人信息,完成“安全认证”。
然而,这是一场悉心企划的“骗局” !
在这儿,信息部要虚心地跟你们说一声抱歉,因为这是我们山东石油自己组织的一次垂钓电邮演习,希望没有给你们带来太多的困惑。
我们为何要做此次测试?
钓鱼电邮是社会工程学功击的一种,在诸多社会工程学入侵手段中,钓鱼电邮由于操作简单害处重大、 攻击广泛、形式多样而遭到攻击者的偏爱。
根据威瑞森发布《2021年数据泄漏调查报告》显示,网络垂钓、勒索软件和Web应用功击成为2021年数据泄漏主要诱因。报告指出,新冠脑炎疫情所致远程办公和云端迁移潮为网路犯人开辟了新的途径。网络垂钓仍是社会工程和恶意软件最常用的功击手段和载体。Web应用功击造成了今年39%的数据泄漏风波,而网路垂钓功击比上一年暴涨11%,勒索软件下降6%。
报告中还有以下一些数据值得深入思索:
85%的数据泄漏涉及人的诱因。
61%的数据泄漏涉入登陆账簿。
钓鱼电邮是企业网路安全工作面对的最基础、最广泛的风险来源。在日常的工作生活中,我们每位人会收到各类来历不明的电邮,提高职工安全防范意识,提升对于关键信息、密码安全的警惕性,是做好企业信息安全的基础。
钓鱼结果怎么样?
截止2021年8月12日12:00,共有3068名朋友收到这封“钓鱼电邮”,其中有130名朋友点击了可疑链接,约占到测试总数的4%,大多数同学对可疑发件人和短信中的可疑链接有所警觉,表现出普遍较好的安全防范意识。
但值得注意的是,在这130名点击了链接的朋友中,又有116名在后续页面输入了用户名和姓名,约占点击链接人数的89%,表现出一旦放松提防迈出第一步,就很容易落入后续的圈套之中。
我们是如何做的?
通常垂钓电邮根据难度分辨可分以下几个级别:
●第一级:不模仿真实页面,预留较多纰漏,邮件内容、页面内容存在排版错误。
●第二级:不模仿真实页面,预留少数纰漏,邮件内容、页面内容格式正常。
●第五级:模仿真实网站、真实行文习惯,不预留纰漏。
●第四级:在最大化仿真的前提下,夹带真实个人信息、企业信息降低可行度。
本次采用的是较为中级的第二级难度,相信悉心的朋友应当早已发觉了其中的一些纰漏:
1.邮箱域名
2.链接地址
3.短信内容
常见垂钓主题的内容有以下几种:财务类主题、IT通知类主题、司法机关类、商业合作类,本次电邮主题选用的为IT通知类。
如何辨识垂钓电邮?
1、看发件人地址
如果发觉对方使用的是个人邮箱账号或则邮箱帐号拼写很奇怪,那么就须要提升提防。钓鱼电邮的发件人地址常常会进行伪造,比如伪造成本单位域名的邮箱帐号或则系统管理员帐号。
2、看发件日期
公务电邮一般发送短信的时间在工作时间内,如果收到电邮是非工作时间,需要提升提防。比如,凌晨3点钟。
3、看邮箱标题
大量垂钓电邮主题关键字涉及“系统管理员”、“通知”、“告警”、“订单”、“采购单”、“发票”、“会议日程”、“参会名单”、“历届大会回顾”等,收到这种关键词的电邮,需提升提防。
4、看正文言辞
对使用“亲爱的用户”、“亲爱的朋友”等一些泛化祝福的电邮应保持提防。同时也要对任何制造紧急氛围的电邮提升提防,如要求“请勿必明日上班前完成”,这是让人匆忙中错事的手段之一。
5、看正文目的
当心对方索取登陆密码,一般正规的发件人所发送的短信是不会索取寄件人的邮箱登陆帐号和密码的,所以在收到短信后要留心这种要求防止上当。
6、看正文内容
当心电邮内容中须要点击的链接地址,确认真实性后才会点击,若包含“&redirect”字段,很可能就是垂钓链接;还要小心垃圾邮件的“退订”功能。
结语:
钓鱼电邮测试的目的是通过实战来提升你们的防范意识,如果有影响到诸位,在这儿再说一声抱歉!在万物互联、万物感知、万物智能的时代背景下,很多创新型的智能设备、技术的大规模应用,确实给我们的工作和生活带来了众多便利,但同时也带来了更多的数据泄漏、应用安全、网络安全的风险。信息安全最大的安全风险常常并不是技术的缺陷,而是因为人的疏漏带来的。希望本次“钓鱼电邮”演练才能为你们叩响警钟,树立起良好的信息安全防范意识;也希望你们无论在工作还是生活中,都能提升网路安全意识,远离网路风险。9月份,即将迎来国家网络安全宣传周,更多精彩内容敬请期盼。
我晓得你在看哟
