为提高师生网络安全意识,防范化解钓鱼邮件风险隐患,保障业务数据和个人信息安全,根据教育部科信司和省教育厅有关通知要求,我校于12月4日至7日采取“不提前告知”和“不定期发送”方式,组织开展了一场钓鱼邮件专项演练。
一、演练过程
12月4日,我校本科生、研究生以及教职工的校园网邮箱中分别收到三封不同的电子邮件:“【警告】一站式服务大厅平台账号异地登录通知”,“【警告】统一身份认证平台账号登录通知”和“【警告】OA系统账号异地登录通知”。
钓鱼邮件群发后,陆续有师生“上钩”。用户访问钓鱼链接后跳转至定制伪造的钓鱼网站,诱导其输入统一身份认证系统和账号密码。
本次演练共向我校师生发送了共33210封定制的”钓鱼”邮件,数据结果显示,共有429名师生阅读了邮件,其中有205名师生中招,并有一部分人填写了详细的个人信息。这意味着,若不是“钓鱼演练”,他们将成为”钓鱼”邮件的直接受害者。
二、演练结果
教职工组
教职工组演练总人数为1943人,其中阅读邮件的为297人,阅读率15.29%,仅阅读邮件人数为172人,演练中招总人数为125人,演练中招率42.09%;有71位教职工在阅读邮件后仅访问了钓鱼链接未提交数据信息,有54位教职工访问钓鱼链接后又提交了数据信息。
研究生组
研究生组演练总人数为5065人,其中阅读邮件的有73人,阅读率1.44%,仅阅读邮件人数为36人,演练中招总人数为37人,演练中招率50.68%;有24位研究生在阅读邮件后仅访问了钓鱼链接未提交数据信息,有13位研究生访问钓鱼链接后又提交了数据信息。
本科生组
本科生组演练总人数为26202人,其中阅读邮件的有59人,阅读率0.23%,仅阅读邮件人数为16人,演练中招总人数为43人,演练中招率72.88%;有14位本科生在阅读邮件后仅访问了钓鱼链接未提交数据信息,有29位本科生访问钓鱼链接后又提交了数据信息。
这次”钓鱼邮件”演练结果显示:在钓鱼邮件内容存在较多破绽的情况下,仍有师生多次点击链接访问钓鱼页面,且多次在页面提交信息的情况。
如攻击者放置木马诱导其运行,进而导致被攻击者电脑被控制,PC终端一旦失陷,可对学校网络安全造成严重危害:
如攻击者植入隐蔽后门,将实现对个人电脑的长期隐秘控制;
如学校的邮箱账号失陷,利用被攻击者进行对内或对外投递钓鱼邮件,可能会影响学校声誉以及造成财产经济损失。
三、问题分析
1、部分师生邮件安全意识不到位;
2、针对邮箱地址与内容不符情况,未仔细辨识;
3、针对异常页面的敏感信息索取情况,无高度防范意识。
四、防范措施
