我校开展钓鱼邮件专项演练

发布时间:2023-12-18浏览次数:来源:信息办


为提高师生网络安全意识,防范化解钓鱼邮件风险隐患,保障业务数据和个人信息安全,根据教育部科信司和省教育厅有关通知要求,我校于12月4日至7日采取“不提前告知”和“不定期发送”方式,组织开展了一场钓鱼邮件专项演练。

一、演练过程

12月4日,我校本科生、研究生以及教职工的校园网邮箱中分别收到三封不同的电子邮件:“【警告】一站式服务大厅平台账号异地登录通知”,“【警告】统一身份认证平台账号登录通知”和“【警告】OA系统账号异地登录通知”

钓鱼邮件群发后,陆续有师生“上钩。用户访问钓鱼链接后跳转至定制伪造的钓鱼网站,诱导其输入统一身份认证系统和账号密码。


本次演练共向我校师生发送了共33210封定制的”钓鱼”邮件,数据结果显示,共有429名师生阅读了邮件,其中有205名师生中招,并有一部分人填写了详细的个人信息。这意味着,若不是“钓鱼演练”,他们将成为”钓鱼”邮件的直接受害者。

二、演练结果

教职工组

教职工组演练总人数为1943,其中阅读邮件的297人,阅读率15.29%仅阅读邮件人数为172人演练中招总人数为125人,演练中招率42.09%有71位教职工在阅读邮件后仅访问了钓鱼链接未提交数据信息,有54位教职工访问钓鱼链接后又提交了数据信息。

研究生组

研究生组演练总人数为5065,其中阅读邮件的有73人,阅读率1.44%,仅阅读邮件人数为36人演练中招总人数为37人,演练中招率50.68%;有24位研究生在阅读邮件后仅访问了钓鱼链接未提交数据信息,有13位研究生访问钓鱼链接后又提交了数据信息。

本科生组

本科生组演练总人数为26202,其中阅读邮件的有59人,阅读率0.23%仅阅读邮件人数为16人演练中招总人数为43人,演练中招率72.88%有14位本科生在阅读邮件后仅访问了钓鱼链接未提交数据信息,有29位本科生访问钓鱼链接后又提交了数据信息。

这次钓鱼邮件演练结果显示:在钓鱼邮件内容存在较多破绽的情况下,仍有师生多次点击链接访问钓鱼页面,且多次在页面提交信息的情况

如攻击者放置木马诱导其运行,进而导致被攻击者电脑被控制,PC终端一旦失陷,可对学校网络安全造成严重危害:

如攻击者植入隐蔽后门,将实现对个人电脑的长期隐秘控制

如学校的邮箱账号失陷,利用被攻击者进行对内或对外投递钓鱼邮件,可能会影响学校声誉以及造成财产经济损失

三、问题分析

1、部分师生邮件安全意识不到位;

2、针对邮箱地址与内容不符情况,未仔细辨识;

3、针对异常页面的敏感信息索取情况,无高度防范意识。

四、防范措施