為什么要開(kāi)展網(wǎng)絡(luò)釣魚演練

相信在甲方工作的信息安全工程師都知道，定期對(duì)公司員工進(jìn)行安全意識(shí)培訓(xùn)是我們的工作內(nèi)容之一，目的也很明確，通過(guò)安全意識(shí)培訓(xùn)來(lái)改變員工的不安全行為，降低人的風(fēng)險(xiǎn)。根據(jù)網(wǎng)絡(luò)安全問(wèn)題起源數(shù)據(jù)分析，75%的安全事件是由人引起的，很大一部分原因是意識(shí)薄弱，弱口令、釣魚中招等；只有25%是跟技術(shù)相關(guān)，其中包括系統(tǒng)漏洞、配置缺陷以及業(yè)務(wù)邏輯缺陷等。

??

為了更好地認(rèn)識(shí)企業(yè)的安全意識(shí)成熟程度，釣魚郵件測(cè)試是最好的評(píng)估手段，是驗(yàn)證安全意識(shí)培訓(xùn)效果最有效的方法之一，尤其是對(duì)于剛擔(dān)任公司的信息安全工程師，開(kāi)展一次網(wǎng)絡(luò)釣魚能更快地認(rèn)識(shí)公司人員的安全意識(shí)處于什么階段，從而有針對(duì)性的開(kāi)展安全意識(shí)培訓(xùn)。不試不知道，一試嚇一跳。

網(wǎng)絡(luò)釣魚那些事

1. 網(wǎng)絡(luò)釣魚現(xiàn)狀

在如今的互聯(lián)網(wǎng)環(huán)境中，網(wǎng)絡(luò)釣魚是個(gè)人、組織所面臨較大的安全威脅，員工被“釣魚”是不同規(guī)模組織的一大風(fēng)險(xiǎn)，因?yàn)閷?duì)手會(huì)用惡意郵件和網(wǎng)站對(duì)用戶實(shí)施攻擊。

• 根據(jù)縱橫隨心郵與360行業(yè)安全研究中心的聯(lián)合監(jiān)測(cè)評(píng)估，2019年全國(guó)企業(yè)郵箱用戶共收到各類釣魚郵件約344.3億封。全球每天大約有3000億封電子郵件被發(fā)送，其中90%是垃圾郵件和病毒郵件
• 超過(guò)90%的黑客攻擊和數(shù)據(jù)泄露源于網(wǎng)絡(luò)釣魚詐騙，已報(bào)告商業(yè)電子郵件欺詐(BEC)損失了超過(guò)125億美元，但已報(bào)告的網(wǎng)絡(luò) 犯罪數(shù)量?jī)H占實(shí)際犯罪總數(shù)的10%至12%。

?[[336662]]?

2. 常見(jiàn)網(wǎng)絡(luò)釣魚攻擊類型

• CEO欺詐或商務(wù)郵件欺詐(BEC)——假裝公司的CEO或其他高管，向級(jí)別較低的員工(通常是會(huì)計(jì)或財(cái)務(wù)部門的員工)發(fā)送電子郵件，這些電子郵件的目的是獲取商業(yè)機(jī)密信息或讓受害者將資金轉(zhuǎn)移到一個(gè)虛假賬戶。
• 克隆網(wǎng)絡(luò)釣魚——利用受害者已經(jīng)收到的合法信息，仿真創(chuàng)建一個(gè)惡意腳本，再以上一封電子郵件的鏈接有問(wèn)題為由，要重新發(fā)送原始郵件，來(lái)誘導(dǎo)用戶點(diǎn)擊克隆的釣魚郵件。
• 域欺騙(Pharming)——偽造一個(gè)新的電子郵件頭，使它看起來(lái)像是來(lái)自一家合法公司的電子郵件地址。或者創(chuàng)建一個(gè)欺詐網(wǎng)站，讓它的域名看上去是合法的或與合法公司的域名相似。
• 魚叉式網(wǎng)絡(luò)釣魚(Spear phishing )——使用社交工程策略定制個(gè)性化電子郵件，發(fā)送給組織內(nèi)的特定個(gè)人。攻擊者會(huì)使用電子郵件主題作為受害者感興趣的主題，以欺騙他們打開(kāi)郵件并點(diǎn)擊鏈接或附件。
• 水坑攻擊(Watering Hole)——攻擊公司楊紅經(jīng)常訪問(wèn)的網(wǎng)站，感染其中一個(gè)網(wǎng)站并植入惡意軟件。當(dāng)你或你的員工訪問(wèn)該網(wǎng)站時(shí)，電腦會(huì)自動(dòng)裝載惡意軟件，這樣攻擊者就能訪問(wèn)你的網(wǎng)絡(luò)、服務(wù)器和敏感信息。
• 鯨釣攻擊(Whaling Attack)——是魚叉式釣魚的一種，與CEO欺詐相反。攻擊者的目的是高層管理人員，如CEO、CFO等，其目的是誘導(dǎo)高管輸入敏感信息和公司數(shù)據(jù)。

3. 常見(jiàn)網(wǎng)絡(luò)釣魚攻擊主題

• 財(cái)務(wù)類主題
• IT通知類主題
• 司法機(jī)關(guān)類詐騙
• 商業(yè)電子詐騙

4. 網(wǎng)絡(luò)釣魚危害

針對(duì)個(gè)人的網(wǎng)絡(luò)釣魚(Phishing)攻擊者利用欺騙性的電子郵件和偽造的web站點(diǎn)來(lái)進(jìn)行網(wǎng)絡(luò)詐騙活動(dòng)，受騙者往往會(huì)泄露自己的私人材料。欺詐者通常會(huì)將自己偽裝成網(wǎng)絡(luò)銀行、在線商城、快遞等可信品牌，騙取用戶的私人信息。

針對(duì)企業(yè)網(wǎng)絡(luò)釣魚(phshng)是在網(wǎng)絡(luò)上盜竊身份的一種形式，它使用誘騙性的電子郵件和欺騙性質(zhì)的網(wǎng)站來(lái)引誘人們泄露公司內(nèi)部系統(tǒng)的賬號(hào)和密碼，公司的賬戶和密碼，影響公司估值的CEO/CFO的個(gè)人信息，郵箱賬號(hào)、密碼等。盜取用戶資金、勒索公司，使公司蒙受經(jīng)濟(jì)損失，上市公司還是影響股價(jià)。

網(wǎng)絡(luò)釣魚演練目的

合規(guī)驅(qū)動(dòng)：

• 《網(wǎng)絡(luò)安全法》-第三十四條(二)規(guī)定，定期對(duì)從業(yè)人員進(jìn)行網(wǎng)絡(luò)安全教育、技術(shù)培訓(xùn)和技能考核。
• 《等保2.0》-6/7/8/9.1.7.3：應(yīng)對(duì)各類人員進(jìn)行安全意識(shí)教育和崗位技能培訓(xùn)，并告知相關(guān)的安全責(zé)任和懲戒措施。
• 《關(guān)基安全保護(hù)條例》-第二十七條：運(yùn)營(yíng)者應(yīng)當(dāng)組織從業(yè)人員網(wǎng)絡(luò)安全教育培訓(xùn)，每人每年教育培訓(xùn)時(shí)長(zhǎng)不得少于1個(gè)工作日，關(guān)鍵崗位專業(yè)技術(shù)人員每人每年教育培訓(xùn)時(shí)長(zhǎng)不得少于3個(gè)工作日。

提升信息安全意識(shí)：

• 識(shí)別與排列人為風(fēng)險(xiǎn)優(yōu)先級(jí)，從而有針對(duì)性地對(duì)癥下藥
• 改變員工的不安全行為
• 降低人為風(fēng)險(xiǎn)
• 提升安全意識(shí)成熟度

開(kāi)展網(wǎng)絡(luò)釣魚步驟

1. 網(wǎng)絡(luò)釣魚系統(tǒng)技術(shù)實(shí)現(xiàn)

釣魚郵件演練技術(shù)支持包括企業(yè)內(nèi)部人員和外部供應(yīng)商，以下對(duì)兩者的優(yōu)劣性做對(duì)比

公司內(nèi)部人員：

• 優(yōu)點(diǎn)：對(duì)公司的公司文化、信息安全成熟度更加了解，對(duì)不同的人員發(fā)送針對(duì)性的釣魚郵件主題。成本低，重復(fù)利用率高，在一定程度上能提升安全人員的技術(shù)能力。
• 缺點(diǎn)：需要有一定技術(shù)能力的技術(shù)人員，包括釣魚郵件系統(tǒng)環(huán)境部署、前端頁(yè)面開(kāi)發(fā)、數(shù)據(jù)匯總等能力。周期較長(zhǎng)，內(nèi)容效果難以保證。

外部供應(yīng)商：

• 優(yōu)點(diǎn)：能實(shí)現(xiàn)一定程度的定制化，在技術(shù)能力、行業(yè)前瞻性具有相當(dāng)大的優(yōu)勢(shì)，提供有保證的技術(shù)支持。
• 缺點(diǎn)：成本高，缺乏對(duì)企業(yè)特定威脅、崗位特點(diǎn)的深入理解;釣魚郵件系統(tǒng)重復(fù)利用率低，更換供應(yīng)商后原來(lái)的舊系統(tǒng)可能不適用

綜上所述，可以基于過(guò)往演練效果、需求匹配度、交付與管理等方面綜合考慮，外部供應(yīng)商選擇比較多，這里不展開(kāi)闡述。若公司內(nèi)部人員來(lái)實(shí)現(xiàn)，推薦一款釣魚郵件平臺(tái)采用開(kāi)源系統(tǒng)gophish，前端頁(yè)面使用HTML+CSS+JavaScript等，效果非常不錯(cuò)，易上手，0元玩轉(zhuǎn)釣魚郵件，這是老板最想要的，免費(fèi)且好用。附上GitHub地址：

??https://github.com/gophish/gophish??

??

2. 設(shè)定郵件主題

• 冒充公司IT或行政部門發(fā)送釣魚郵件，面對(duì)對(duì)象：全員。
• 偽裝供應(yīng)商、客戶發(fā)送釣魚郵件，面對(duì)對(duì)象：采購(gòu)、銷售、行政。
• 偽造面試候選人發(fā)送釣魚郵件，面對(duì)對(duì)象：財(cái)務(wù)、法務(wù)、HR。

無(wú)論選擇哪個(gè)作為測(cè)試對(duì)象，都需要得到高層的同意。

3. 設(shè)定難度

• 一級(jí)釣魚攻擊——有很多指標(biāo)可以很容易識(shí)別出是“釣魚郵件”
• 二級(jí)釣魚攻擊——基于公司信息或個(gè)人信息的郵件
• 三級(jí)釣魚攻擊——有指向性、針對(duì)性的釣魚攻擊
• 四級(jí)釣魚攻擊或魚叉式釣魚攻擊——具備個(gè)性化信息、商標(biāo)、無(wú)拼寫錯(cuò)誤等特征。

在企業(yè)開(kāi)展演練時(shí)，需要注意以下幾點(diǎn)：

• 不能冒充公檢法相關(guān)監(jiān)管單位，包括logo、電話、工作人員真實(shí)信息等
• 內(nèi)容需要合規(guī)。郵件正文中不能發(fā)布、傳播反黨反社會(huì)輿論;不得侵犯商業(yè)秘密;不得非法獲取國(guó)家秘密;不得侵犯公民個(gè)人信息。
• 不能對(duì)公司現(xiàn)有系統(tǒng)造成損害，以此來(lái)竊取公司商業(yè)機(jī)密

4. 話術(shù)

發(fā)起釣魚郵件測(cè)試后，會(huì)收到員工的上報(bào)，我們需要統(tǒng)一話術(shù)，避免提前露餡，如：

5. 追蹤與統(tǒng)計(jì)

• 點(diǎn)擊人數(shù)
• 報(bào)告釣魚郵件攻擊的人數(shù)
• 點(diǎn)擊卻未報(bào)告的人數(shù)
• 點(diǎn)擊并報(bào)告的人數(shù)
• 未點(diǎn)擊也未報(bào)告的人數(shù)
• 未點(diǎn)擊卻報(bào)告的人數(shù)

以上數(shù)據(jù)可以在gophish上獲取，重點(diǎn)關(guān)注點(diǎn)擊率和上報(bào)率

6. 開(kāi)展培訓(xùn)

對(duì)本次釣魚郵件演練做復(fù)盤，展示上一步中的數(shù)據(jù)，對(duì)員工進(jìn)行信息安全意識(shí)培訓(xùn)

介紹常見(jiàn)的釣魚郵件類型以及該如何防范，收到釣魚郵件后上報(bào)的途徑

7. 重復(fù)

定期開(kāi)展釣魚郵件測(cè)試，避免長(zhǎng)時(shí)間后員工放低警惕性，對(duì)于入職的新員工，可能缺乏相關(guān)的信息安全意識(shí)培訓(xùn)，通過(guò)真實(shí)的演練來(lái)提高信息安全意識(shí)

緊跟流行的釣魚郵件攻擊方式

在每次完成測(cè)試后與上一次測(cè)試做對(duì)比，檢驗(yàn)員工的不安全行為是否得到改善。總結(jié)每次存在的不足以及需要改進(jìn)的地方，避免在下一次測(cè)試出現(xiàn)同樣的問(wèn)題。

網(wǎng)絡(luò)釣魚常見(jiàn)問(wèn)題以及改進(jìn)

1. 常見(jiàn)問(wèn)題

• 過(guò)分注重員工的情緒及感受
• 高層領(lǐng)導(dǎo)是例外
• 內(nèi)容造成員工不適，被迫中止測(cè)試
• 認(rèn)為太多的訓(xùn)練使人厭煩
• 員工直接刪除釣魚郵件
• 員工可能無(wú)法分辨釣魚郵件和正常郵件
• 員工不知道上報(bào)的途徑(尤其是新員工)
• 郵件可能會(huì)被自動(dòng)識(shí)別成垃圾郵件，用戶不知道郵件的存在，會(huì)影響測(cè)試范圍。

?[[336663]]?

2. 對(duì)應(yīng)措施

• 釣魚攻擊回歸現(xiàn)實(shí)，隨著時(shí)間推移來(lái)增加釣魚攻擊的“舉重砝碼”，但避免過(guò)于個(gè)人的主題。
• 根據(jù)當(dāng)前釣魚的流行手段來(lái)安排釣魚攻擊訓(xùn)練
• 提供一個(gè)可以報(bào)告可疑郵件的通道。
• 演練前需要與被測(cè)試部門或事業(yè)部負(fù)責(zé)人進(jìn)行溝通，取得高層的授權(quán)。
• 在安全意識(shí)課程中加入釣魚郵件現(xiàn)狀以及如何識(shí)別釣魚郵件，強(qiáng)化對(duì)釣魚郵件的認(rèn)知

總結(jié)

我們需要像攻擊者一樣進(jìn)行釣魚攻擊測(cè)試，并根據(jù)當(dāng)前流行的攻擊方式對(duì)員工進(jìn)行測(cè)試，讓員工在測(cè)試中學(xué)會(huì)識(shí)別釣魚攻擊，避免遇到真正的網(wǎng)絡(luò)釣魚時(shí)上當(dāng)受騙，并將釣魚攻擊和社會(huì)工程學(xué)納入安全意識(shí)培訓(xùn)中。在開(kāi)展釣魚攻擊演練前需要為組織單位設(shè)定合理的目標(biāo)，該如何衡量這個(gè)目標(biāo)。

以上是我對(duì)企業(yè)釣魚郵件演練的一些看法，希望能幫助到正在看這篇文章的你。若你有更好的觀點(diǎn)，可以給我留言，不吝賜教。愿我們能幫助公司最大程度地減少人為帶來(lái)的安全風(fēng)險(xiǎn)，守衛(wèi)網(wǎng)絡(luò)安全這片凈土。