社會工程攻擊經常通過人際交流的方式獲得信息，它綜合人類心理學、語言學、欺詐心理學等知識，利用人的性格弱點，如本能反應、好奇心、信任、貪婪等，通過欺騙等手段獲取自身利益。社會工程中的釣魚郵件一直是不法分子使用的重要手段，因為它非常普遍，且成功率高，這種方式使企業(yè)和個人損失了大量金錢和重要數(shù)據(jù)，已經成為企業(yè)安全最大的威脅之一！

　　釣魚郵件攻擊日益普遍

　　Verizon 2021年數(shù)據(jù)泄露調查報告發(fā)現(xiàn)，在所有數(shù)據(jù)泄露事件中有25%涉及網(wǎng)絡釣魚。Proofpoint 2022年網(wǎng)絡釣魚威脅狀態(tài)報告顯示，2021年有83%的企業(yè)成為網(wǎng)絡釣魚攻擊的受害者。釣魚郵件攻擊如此普遍，關鍵在于釣魚郵件攻擊的高成功率，這種網(wǎng)絡攻擊很容易被攻擊機器人反復復制和自動化。雖然許多人相信自己在收到一封網(wǎng)絡釣魚電子郵件時會識別出來，但事實是他們通常做不到。

　　釣魚郵件的防范

　　目前，有效防范網(wǎng)絡釣魚攻擊的方法是釣魚模擬演練。開展定期或不定期全員或分部門的釣魚郵件模擬活動，能夠幫助企業(yè)和組織對內部人員進行針對性的安全意識培訓。

　　釣魚模擬演練的一般過程是通過向員工分發(fā)釣魚郵件，對員工進行體驗式、參與式、實戰(zhàn)性的模擬訓練，實景演練教導員工如何識別、處置、防范釣魚攻擊。以谷安天下釣魚模擬演練系統(tǒng)為例，該系統(tǒng)可以讓企業(yè)自行在后臺查看釣魚郵件的統(tǒng)計結果，追蹤點擊釣魚郵件的郵箱、時間等具體信息，為企業(yè)開展網(wǎng)絡安全意識教育提供有效的數(shù)據(jù)支撐。

　　圖1：模擬釣魚郵件示例

　　釣魚郵件通過模擬真實郵件來進行網(wǎng)絡攻擊，模擬釣魚演練則是通過模擬釣魚郵件讓人員實景學習釣魚郵件的防范要點。

　　具體包括：

　　1、如果郵件發(fā)件人賬戶名稱是某機構，但地址欄中顯示的卻是個人賬號，如@163.com或者@qq.com，那么就極有可能是一封釣魚郵件。同時檢查“收件人”及“抄送人”的地址欄?？雌浒l(fā)送的對象中是否有你不認識或者不和你在一起工作的人。

　　2、對使用“親愛的用戶”或者一些泛化問候的郵件保持警惕。如果某個可信機構有必要聯(lián)系你，他們應該會知道你的名字和信息。同樣也要問問自己，該公司為什么會發(fā)郵件給你。

　　3、對任何制造緊急氛圍的郵件都要提高警惕，如要求“請在今日下班前務必完成升級操作”這是讓人在慌忙之中犯錯的慣用手段。

　　4、將鼠標放在鏈接處，會顯示真實網(wǎng)址。如果顯示的真實網(wǎng)址與郵件中所列出的鏈接網(wǎng)址不同，這就很可能是一次釣魚攻擊。

　　5、對附件保持警惕，如內容包含文檔、圖片、壓縮包、腳本程序（exe、vbs、bat）等，在確認郵件可信之前一定不要點擊附件。

　　對企業(yè)而言，在選擇釣魚模擬演練系統(tǒng)時，應該優(yōu)先考慮系統(tǒng)是否具備以下指標和能力：

　　操作簡單：操作簡單，容易上手，即便是新手用戶也能很快適應。

　　真實模擬：發(fā)送郵箱可以做到100%真實模擬，不需要使用真實郵箱環(huán)境，確保企業(yè)業(yè)務正常開展。

　　秒速發(fā)送：發(fā)送郵件數(shù)量不受限制，發(fā)送時間不受限制，無需等待。

　　SaaS服務：無需本地部署，可快速直接實現(xiàn)釣魚郵件攻擊測試。