别上当!学校钓鱼邮件演练,教你防骗必备技能!
网络钓鱼是目前常见的网络攻击手段,黑客针对高校的钓鱼邮件攻击非常频繁,很多用户都曾收到过账号提醒、邮箱备案、补贴或退税等相关主题的钓鱼邮件。为提升我校师生的网络安全意识,增强对钓鱼邮件的识别防范,数字化办公室精心策划了一场“钓鱼行动”。
钓鱼邮件安全演练
接收对象:近一个月内1409名活跃师生
邮件主题:[紧急通知]统一身份认证系统账号存在异常
演练日期:2023年12月29日至2024年1月5日
与邮箱账号安全相关。
伪装成系统提醒邮件。
诱骗修改的链接页面与我校统一身份验证站点页面几乎一致。
部分师生安全意识很高,第一时间识破了钓鱼邮件的“诡计”,主动通过在线帮助台、邮件、企业微信等途径向数字化办公室举报钓鱼邮件或核实邮件真伪,并提醒身边同事不要上当受骗,但也有150人点击钓鱼链接并在伪造的身份认证页面提交了信息,落进了钓鱼邮件的陷阱中。
精心设计的“钓鱼漏洞”
本次钓鱼邮件演练中,数字化办公室精心设计了几个常见的钓鱼“漏洞”:
01 钓鱼链接
https://www.nskws.com/api/dhctktnpha_chcwegsfsv=628be37c0000000000000000_1eEBkZW1vLmNvbQ&_xtest=xsdm 当前为临时链接,可能无法打开,打开后是统一身份认证登录界面
02 明显甄别位置的破绽设计
演练数据公开
此次钓鱼演练,总计发送了1409封邮件。其中阅读邮件的有684人,阅读率48.55%;演练中招总人数为150人,演练中招率10.65%;有96位师生在阅读邮件后仅访问了钓鱼链接未提交数据信息;有54位师生访问钓鱼链接后又提交了敏感数据信息。
教师方面:在全校抽中的1064位教师当中,有56.58%教师(602位)阅读了邮件,9.96%教师(106位)点击了钓鱼链接,3.38%教师(36位)提交了数据信息。
学生方面:在全校抽中的346位学生当中,有23.70%学生(82位)阅读了邮件,12.72%学生(44位)点击了钓鱼链接,5.20%学生(18位)提交了数据信息。
如何甄别?教你几招!
1. 查看发件地址
学校官方的真实邮件地址后缀应为@xxx.edu.cn,不要被虚假的显示名所蒙蔽。
2. 留意邮件标题
对于那些紧急、引人注意的词汇,务必要格外小心。
3. 阅读正文
谨防对方索要密码等个人信息,特别是紧急情况下更要保持冷静。
4. 注意链接地址
悬浮在链接上查看真实地址,不要轻易点击。
如何预防?时时牢记!
1. 安装杀毒软件
安装杀毒软件并定期更新病毒库,开启杀毒软件对邮件附件的扫描功能,可在一定程度上防范钓鱼邮件攻击。不要下载和运行任何未经核实的邮件附件,尤其是包含“.exe”和“.bat”类似的可执行文件。
2. 邮箱账号要绑定手机
将邮箱帐号与个人手机号码绑定,不仅可以找回密码,也可接收“异地登录提醒”信息。不要在未经核实的邮件或邮件跳转的地址中输入相关邮件账号、密码等信息,任何合法机构不会索要你的敏感信息。如果已经输入真实的用户名和密码,请立即修改电子邮件账号密码。
3. 登录邮箱使用多因素认证
多因素认证是防范邮箱账号被盗用的最有效技术手段,可避免攻击者通过猜测、暴力破解等手段盗用邮箱。
4. 重要邮件及时归类
及时清空邮箱内不再使用的重要邮件;归档备份重要邮件,防止被攻击后邮件丢失。
5. 不要对陌生人的邮件进行响应
收到邮件后核实发件人地址,邮件内容,对任何制造紧急气氛的邮件提高警惕。陌生人发来的邮件,切勿盲目回复,切勿点击邮件中的链接(包括“退订”等),不加陌生QQ群,也不拨打邮件中的电话或手机号码。
学校不存在以邮件方式的任何理由要求您核实身份或提供密码。由于钓鱼邮件特征多变,仅靠系统拦截无法杜绝,所以提高个人安全意识,看清钓鱼本质,对钓鱼邮件才是最有效的防御。
今后我校将会不定期开展钓鱼邮件演练,持续提升全校师生网络安全意识,加强我校网络安全保障。
