社會工程攻擊經(jīng)常通過人際交流的方式獲得信息,，它綜合人類心理學(xué),、語言學(xué)、欺詐心理學(xué)等知識,，利用人的性格弱點,，如本能反應(yīng)、好奇心,、信任,、貪婪等，通過欺騙等手段獲取自身利益,。社會工程中的釣魚郵件一直是不法分子使用的重要手段,，因為它非常普遍，且成功率高,，這種方式使企業(yè)和個人損失了大量金錢和重要數(shù)據(jù),，已經(jīng)成為企業(yè)安全最大的威脅之一！

　　釣魚郵件攻擊日益普遍

　　Verizon 2021年數(shù)據(jù)泄露調(diào)查報告發(fā)現(xiàn),，在所有數(shù)據(jù)泄露事件中有25%涉及網(wǎng)絡(luò)釣魚,。Proofpoint 2022年網(wǎng)絡(luò)釣魚威脅狀態(tài)報告顯示，2021年有83%的企業(yè)成為網(wǎng)絡(luò)釣魚攻擊的受害者,。釣魚郵件攻擊如此普遍,，關(guān)鍵在于釣魚郵件攻擊的高成功率，這種網(wǎng)絡(luò)攻擊很容易被攻擊機器人反復(fù)復(fù)制和自動化,。雖然許多人相信自己在收到一封網(wǎng)絡(luò)釣魚電子郵件時會識別出來,，但事實是他們通常做不到。

　　釣魚郵件的防范

　　目前,，有效防范網(wǎng)絡(luò)釣魚攻擊的方法是釣魚模擬演練,。開展定期或不定期全員或分部門的釣魚郵件模擬活動，能夠幫助企業(yè)和組織對內(nèi)部人員進(jìn)行針對性的安全意識培訓(xùn),。

　　釣魚模擬演練的一般過程是通過向員工分發(fā)釣魚郵件,，對員工進(jìn)行體驗式、參與式,、實戰(zhàn)性的模擬訓(xùn)練,，實景演練教導(dǎo)員工如何識別、處置,、防范釣魚攻擊,。以谷安天下釣魚模擬演練系統(tǒng)為例，該系統(tǒng)可以讓企業(yè)自行在后臺查看釣魚郵件的統(tǒng)計結(jié)果,，追蹤點擊釣魚郵件的郵箱,、時間等具體信息，為企業(yè)開展網(wǎng)絡(luò)安全意識教育提供有效的數(shù)據(jù)支撐。

　　圖1：模擬釣魚郵件示例

　　釣魚郵件通過模擬真實郵件來進(jìn)行網(wǎng)絡(luò)攻擊,，模擬釣魚演練則是通過模擬釣魚郵件讓人員實景學(xué)習(xí)釣魚郵件的防范要點,。

　　具體包括：

　　1、如果郵件發(fā)件人賬戶名稱是某機構(gòu),，但地址欄中顯示的卻是個人賬號,，如@163.com或者@qq.com，那么就極有可能是一封釣魚郵件,。同時檢查“收件人”及“抄送人”的地址欄,。看其發(fā)送的對象中是否有你不認(rèn)識或者不和你在一起工作的人,。

　　2,、對使用“親愛的用戶”或者一些泛化問候的郵件保持警惕。如果某個可信機構(gòu)有必要聯(lián)系你,，他們應(yīng)該會知道你的名字和信息,。同樣也要問問自己，該公司為什么會發(fā)郵件給你,。

　　3,、對任何制造緊急氛圍的郵件都要提高警惕，如要求“請在今日下班前務(wù)必完成升級操作”這是讓人在慌忙之中犯錯的慣用手段,。

　　4,、將鼠標(biāo)放在鏈接處，會顯示真實網(wǎng)址,。如果顯示的真實網(wǎng)址與郵件中所列出的鏈接網(wǎng)址不同,，這就很可能是一次釣魚攻擊。

　　5,、對附件保持警惕,，如內(nèi)容包含文檔、圖片,、壓縮包,、腳本程序（exe、vbs,、bat）等,，在確認(rèn)郵件可信之前一定不要點擊附件。

　　對企業(yè)而言,，在選擇釣魚模擬演練系統(tǒng)時，應(yīng)該優(yōu)先考慮系統(tǒng)是否具備以下指標(biāo)和能力：

　　操作簡單：操作簡單,，容易上手,，即便是新手用戶也能很快適應(yīng)。

　　真實模擬：發(fā)送郵箱可以做到100%真實模擬，不需要使用真實郵箱環(huán)境,，確保企業(yè)業(yè)務(wù)正常開展,。

　　秒速發(fā)送：發(fā)送郵件數(shù)量不受限制，發(fā)送時間不受限制,，無需等待,。

　　SaaS服務(wù)：無需本地部署，可快速直接實現(xiàn)釣魚郵件攻擊測試,。