如何规划企业钓鱼邮件演练？

为什么要开展网络钓鱼演练

相信在甲方工作的信息安全工程师都知道，定期对公司员工进行安全意识培训是我们的工作内容之一，目的也很明确，通过安全意识培训来改变员工的不安全行为，降低人的风险。根据网络安全问题起源数据分析，75%的安全事件是由人引起的，很大一部分原因是意识薄弱，弱口令、钓鱼中招等；只有25%是跟技术相关，其中包括系统漏洞、配置缺陷以及业务逻辑缺陷等。

​​

为了更好地认识企业的安全意识成熟程度，钓鱼邮件测试是最好的评估手段，是验证安全意识培训效果最有效的方法之一，尤其是对于刚担任公司的信息安全工程师，开展一次网络钓鱼能更快地认识公司人员的安全意识处于什么阶段，从而有针对性的开展安全意识培训。不试不知道，一试吓一跳。

网络钓鱼那些事

1. 网络钓鱼现状

在如今的互联网环境中，网络钓鱼是个人、组织所面临较大的安全威胁，员工被“钓鱼”是不同规模组织的一大风险，因为对手会用恶意邮件和网站对用户实施攻击。

• 根据纵横随心邮与360行业安全研究中心的联合监测评估，2019年全国企业邮箱用户共收到各类钓鱼邮件约344.3亿封。全球每天大约有3000亿封电子邮件被发送，其中90%是垃圾邮件和病毒邮件
• 超过90%的黑客攻击和数据泄露源于网络钓鱼诈骗，已报告商业电子邮件欺诈(BEC)损失了超过125亿美元，但已报告的网络 犯罪数量仅占实际犯罪总数的10%至12%。

​[[336662]]​

2. 常见网络钓鱼攻击类型

• CEO欺诈或商务邮件欺诈(BEC)——假装公司的CEO或其他高管，向级别较低的员工(通常是会计或财务部门的员工)发送电子邮件，这些电子邮件的目的是获取商业机密信息或让受害者将资金转移到一个虚假账户。
• 克隆网络钓鱼——利用受害者已经收到的合法信息，仿真创建一个恶意脚本，再以上一封电子邮件的链接有问题为由，要重新发送原始邮件，来诱导用户点击克隆的钓鱼邮件。
• 域欺骗(Pharming)——伪造一个新的电子邮件头，使它看起来像是来自一家合法公司的电子邮件地址。或者创建一个欺诈网站，让它的域名看上去是合法的或与合法公司的域名相似。
• 鱼叉式网络钓鱼(Spear phishing )——使用社交工程策略定制个性化电子邮件，发送给组织内的特定个人。攻击者会使用电子邮件主题作为受害者感兴趣的主题，以欺骗他们打开邮件并点击链接或附件。
• 水坑攻击(Watering Hole)——攻击公司杨红经常访问的网站，感染其中一个网站并植入恶意软件。当你或你的员工访问该网站时，电脑会自动装载恶意软件，这样攻击者就能访问你的网络、服务器和敏感信息。
• 鲸钓攻击(Whaling Attack)——是鱼叉式钓鱼的一种，与CEO欺诈相反。攻击者的目的是高层管理人员，如CEO、CFO等，其目的是诱导高管输入敏感信息和公司数据。

3. 常见网络钓鱼攻击主题

• 财务类主题
• IT通知类主题
• 司法机关类诈骗
• 商业电子诈骗

4. 网络钓鱼危害

针对个人的网络钓鱼(Phishing)攻击者利用欺骗性的电子邮件和伪造的web站点来进行网络诈骗活动，受骗者往往会泄露自己的私人材料。欺诈者通常会将自己伪装成网络银行、在线商城、快递等可信品牌，骗取用户的私人信息。

针对企业网络钓鱼(phshng)是在网络上盗窃身份的一种形式，它使用诱骗性的电子邮件和欺骗性质的网站来引诱人们泄露公司内部系统的账号和密码，公司的账户和密码，影响公司估值的CEO/CFO的个人信息，邮箱账号、密码等。盗取用户资金、勒索公司，使公司蒙受经济损失，上市公司还是影响股价。

网络钓鱼演练目的

合规驱动：

• 《网络安全法》-第三十四条(二)规定，定期对从业人员进行网络安全教育、技术培训和技能考核。
• 《等保2.0》-6/7/8/9.1.7.3：应对各类人员进行安全意识教育和岗位技能培训，并告知相关的安全责任和惩戒措施。
• 《关基安全保护条例》-第二十七条：运营者应当组织从业人员网络安全教育培训，每人每年教育培训时长不得少于1个工作日，关键岗位专业技术人员每人每年教育培训时长不得少于3个工作日。

提升信息安全意识：

• 识别与排列人为风险优先级，从而有针对性地对症下药
• 改变员工的不安全行为
• 降低人为风险
• 提升安全意识成熟度

开展网络钓鱼步骤

1. 网络钓鱼系统技术实现

钓鱼邮件演练技术支持包括企业内部人员和外部供应商，以下对两者的优劣性做对比

公司内部人员：

• 优点：对公司的公司文化、信息安全成熟度更加了解，对不同的人员发送针对性的钓鱼邮件主题。成本低，重复利用率高，在一定程度上能提升安全人员的技术能力。
• 缺点：需要有一定技术能力的技术人员，包括钓鱼邮件系统环境部署、前端页面开发、数据汇总等能力。周期较长，内容效果难以保证。

外部供应商：

• 优点：能实现一定程度的定制化，在技术能力、行业前瞻性具有相当大的优势，提供有保证的技术支持。
• 缺点：成本高，缺乏对企业特定威胁、岗位特点的深入理解;钓鱼邮件系统重复利用率低，更换供应商后原来的旧系统可能不适用

综上所述，可以基于过往演练效果、需求匹配度、交付与管理等方面综合考虑，外部供应商选择比较多，这里不展开阐述。若公司内部人员来实现，推荐一款钓鱼邮件平台采用开源系统gophish，前端页面使用HTML+CSS+JavaScript等，效果非常不错，易上手，0元玩转钓鱼邮件，这是老板最想要的，免费且好用。附上GitHub地址：

​​https://github.com/gophish/gophish​​

​​

2. 设定邮件主题

• 冒充公司IT或行政部门发送钓鱼邮件，面对对象：全员。
• 伪装供应商、客户发送钓鱼邮件，面对对象：采购、销售、行政。
• 伪造面试候选人发送钓鱼邮件，面对对象：财务、法务、HR。

无论选择哪个作为测试对象，都需要得到高层的同意。

3. 设定难度

• 一级钓鱼攻击——有很多指标可以很容易识别出是“钓鱼邮件”
• 二级钓鱼攻击——基于公司信息或个人信息的邮件
• 三级钓鱼攻击——有指向性、针对性的钓鱼攻击
• 四级钓鱼攻击或鱼叉式钓鱼攻击——具备个性化信息、商标、无拼写错误等特征。

在企业开展演练时，需要注意以下几点：

• 不能冒充公检法相关监管单位，包括logo、电话、工作人员真实信息等
• 内容需要合规。邮件正文中不能发布、传播反党反社会舆论;不得侵犯商业秘密;不得非法获取国家秘密;不得侵犯公民个人信息。
• 不能对公司现有系统造成损害，以此来窃取公司商业机密

4. 话术

发起钓鱼邮件测试后，会收到员工的上报，我们需要统一话术，避免提前露馅，如：

5. 追踪与统计

• 点击人数
• 报告钓鱼邮件攻击的人数
• 点击却未报告的人数
• 点击并报告的人数
• 未点击也未报告的人数
• 未点击却报告的人数

以上数据可以在gophish上获取，重点关注点击率和上报率

6. 开展培训

对本次钓鱼邮件演练做复盘，展示上一步中的数据，对员工进行信息安全意识培训

介绍常见的钓鱼邮件类型以及该如何防范，收到钓鱼邮件后上报的途径

7. 重复

定期开展钓鱼邮件测试，避免长时间后员工放低警惕性，对于入职的新员工，可能缺乏相关的信息安全意识培训，通过真实的演练来提高信息安全意识

紧跟流行的钓鱼邮件攻击方式

在每次完成测试后与上一次测试做对比，检验员工的不安全行为是否得到改善。总结每次存在的不足以及需要改进的地方，避免在下一次测试出现同样的问题。

网络钓鱼常见问题以及改进

1. 常见问题

• 过分注重员工的情绪及感受
• 高层领导是例外
• 内容造成员工不适，被迫中止测试
• 认为太多的训练使人厌烦
• 员工直接删除钓鱼邮件
• 员工可能无法分辨钓鱼邮件和正常邮件
• 员工不知道上报的途径(尤其是新员工)
• 邮件可能会被自动识别成垃圾邮件，用户不知道邮件的存在，会影响测试范围。

​[[336663]]​

2. 对应措施

• 钓鱼攻击回归现实，随着时间推移来增加钓鱼攻击的“举重砝码”，但避免过于个人的主题。
• 根据当前钓鱼的流行手段来安排钓鱼攻击训练
• 提供一个可以报告可疑邮件的通道。
• 演练前需要与被测试部门或事业部负责人进行沟通，取得高层的授权。
• 在安全意识课程中加入钓鱼邮件现状以及如何识别钓鱼邮件，强化对钓鱼邮件的认知

总结

我们需要像攻击者一样进行钓鱼攻击测试，并根据当前流行的攻击方式对员工进行测试，让员工在测试中学会识别钓鱼攻击，避免遇到真正的网络钓鱼时上当受骗，并将钓鱼攻击和社会工程学纳入安全意识培训中。在开展钓鱼攻击演练前需要为组织单位设定合理的目标，该如何衡量这个目标。

以上是我对企业钓鱼邮件演练的一些看法，希望能帮助到正在看这篇文章的你。若你有更好的观点，可以给我留言，不吝赐教。愿我们能帮助公司最大程度地减少人为带来的安全风险，守卫网络安全这片净土。