如何谨防钓鱼邮件侵袭？

想要获取更多信息，请关注微信公众号：道普信息

邮箱作为商务沟通、信息存储的载体，在办公中扮演着越来越重要的角色。然而近年来，网络中的钓鱼邮件无孔不入，花样百出的新鲜“钓鱼”骗术，总是令用户防不胜防。近日，某单位收到一封来自公司内部名为《财务部2023年第一季度个人劳动补贴申领通知》的邮件，部分员工按照附件要求扫码，并填写了银行账号等信息，最终不但没有等到所谓的补助，工资卡内的余额也被划走。

事实上，这只是邮件钓鱼威胁的冰山一角，据《2022年全球邮件威胁报告》显示，在2022年，全球每1000个邮箱，平均每月遭受的邮件攻击数量为299.27次（不含垃圾邮件），同比增加12.36%。其中钓鱼邮件占邮件攻击的绝大部分，高达68.47%。尤其对政企单位而言，尤其是关键时期的重点领域，电子邮件通常是正式沟通最常见的形式，也是更容易被高度信任的通信方式。钓鱼邮件攻击一旦奏效，攻击者不仅可以盗取目标信息、植入木马病毒、攻破内网终端，还能通过进一步渗透达到更高级别的攻击目的，必然会给组织带来严重的经济与名誉损失！

一、钓鱼邮件攻击路径分析

钓鱼邮件是指利用伪装的电子邮件，欺骗收件人将账号、口令等信息回复给指定的接收者，或引导收件人连接到特制的网页，一旦被勒索病毒入侵，轻则信息和数据被锁住，重则直接威胁企业的运营。钓鱼邮件攻击的套路大同小异，以上案例事件攻击路径分析如下：

攻击者定向获取通讯录分析职能架构，确定职能岗位人员邮箱。

利用综合管理类型人员邮箱，增加员工的信任度。

发送二维码式样带诱惑性（财务补贴）邮件，诱使点击。

转移到手机端要求填写银行卡密码进行诈骗。

网络用户是网络钓鱼攻击的直接目标，用户的安全意识也是第一道防线，用户对于收到的邮件一定要对发件地址、内部链接等内容仔细检查，任何时候都不要轻易打开其中的文件和链接，认为必须要打开的建议和发件人联系确认。

二、我国钓鱼邮件安全事件频发

我国在2022年遭受的钓鱼邮件攻击数量居世界第二位，相比2021年的增长达到了78%，网络钓鱼邮件诈骗数量明显增多，且已呈现泛滥之势。钓鱼邮件分为仿冒发件人邮件、链接钓鱼邮件、附件钓鱼邮件、鱼叉式钓鱼邮件、BEC钓鱼邮件等类型，通过各种伪装以假乱真，已跃然成为攻击成功率最高的方式之一。

2022年，国内重大钓鱼邮件事件包括：

通过以上事件可以看出，钓鱼邮件危害巨大，轻则只对单个用户产生影响，重则造成组织敏感信息泄露，网络防护体系整体崩溃。

三、钓鱼邮件安全意识评估势在必行

据调查统计，企业平均每年要遭遇700次社会工程攻击，平均拥有1000个员工的机构每月收到116封电子邮件，其中有60%的邮件附带可疑链接被标记，也就是说，每一千员工的企业每月至少有14封网络钓鱼邮件被打开。道普信息风险管控专家表示，企业想要时时规避风险，提升网络安全指数，除了加强邮件安全防护体系建设外，也需要定期举行钓鱼邮件安全意识评估。

1、准备阶段

在前期调研过程中，掌握企业安全意识基本情况，并协助企业确定标靶网站及测评对象。

2、定制阶段

在钓鱼邮件主题及邮件内容设计阶段，则要根据企业实际调研情况，针对性的选择钓鱼邮件主题。

3、测试阶段

确定和制作钓鱼邮件样例后，实施定性测试定制化工作完成后在测评小组内部进行钓鱼邮件测试。

4、评估总结阶段

批量发送钓鱼邮件后，在规定时间内对结果收集，并对客户行为数据统计分析，形成钓鱼邮件测试报告。

如今随着数字化的高速发展，各类陷阱邮件层出不穷。政企用户是网络钓鱼攻击的主要目标，用户的安全意识也是第一道防线，用户对于收到的邮件一定要仔细核对发件地址、内部连接等内容仔细检查。道普信息风险管控专家强调，通过钓鱼邮件安全意识测评服务，有效发现薄弱环节与人员，记录被测对象在测评过程中的行为数据，使客户认知自身安全意识水平的基础上同步提升企业员工安全意识，减少成本，促使企业发现自身潜在问题，及时改善，保障企业安全运营。

想要获取更多信息，请关注微信公众号：道普信息