邮箱安全服务专题 | 发现那些对钓鱼邮件安全意识淡薄的员工

上一期我们介绍了针对邮箱应用层和协议层面的安全检测,目前针对邮箱系统自身风险的服务内容已经向大家介绍完了。然而保障了邮箱自身的系统安全还是远远不够的,每一篇邮件的内容导致的人员主观或者被动操作都会直接产生安全问题,例如钓鱼邮件,其利用伪装的电邮,欺骗收件人将账号、口令等信息回复给指定的接收者;或引导收件人连接到特制的网页,这些网页通常会伪装成和真实网站一样,如银行或理财的网页,令登录者信以为真,输入信用卡或银行卡号码、账户名称及密码等而被盗取。

频发的APT攻击事件告诉我们,员工都是企业安全最薄弱的环节。在发起攻击时,黑客往往采用社会工程学手段对目标组织的员工下手,而这些手段中首当其冲的就是邮件钓鱼。据统计,约92%的数据泄露事件与社会工程学事件和鱼叉式网络钓鱼攻击有关。网络钓鱼攻击通常是电子邮件钓鱼,然后骗取受害者点击恶意链接,最后使用恶意的漏洞Payload攻击受害者计算机。换句话说,如果一个员工误点击恶意链接,黑客可能被盗取账户信息,或者电脑被人种上木马,导致企业内网因此沦陷,业务数据和敏感信息也会陷入巨大风险之中。

钓鱼邮件测试方式

我们的测试工作从钓鱼邮件构造、邮件钓鱼和安全意识教育等方面展开。钓鱼邮件的模板中将设置若干相对明显的伪造信息点,识别难度处于中等水平,测试着力于提高员工安全意识。

针对向内外网邮箱发送钓鱼邮件的需要,测试将在互联网环境下搭建邮件服务器,通过该邮件服务器向测试邮箱列表中的内网 Notes 邮箱地址和互联网邮箱地址发送钓鱼邮件。

针对向受害员工进行安全警示教育的需要,测试将分别在互联网环境和内网环境下搭建两台钓鱼 Web 服务器。两台服务器目录下均包括安全警示教育页面文件、用户访问记录文件、用户访问量统计文件等。

当用户点击邮件中的 URL 链接并输入用户名密码等信息进行登陆操作、或者扫描支付二维码并输入金额进行支付操作、或者下载并打开包含宏指令的文件时,将自动转向安全警示教育页面。

测试过程

图:钓鱼邮件测试方法图示

测试通过发送钓鱼邮件给用户,诱导用户点击邮件中的URL 链接、或者扫描二维码、或者下载文件,连接到钓鱼 Web 服务器。钓鱼 Web 服务器上部署Web 站点,并记录用户访问时的信息。

在具体的测试中有下面四个步骤:

1、通过搭建邮件服务器,向内网 Notes 邮箱及互联网邮箱的个人用户群发钓鱼邮件。

2、用户点击 URL 链接、或者扫描二维码、或者下载文件,将弹出参与测试的告知信息,并记录受害者人数等相关信息。

3、受害员工链接自动重定向至社会工程警示教育页面,进行约 5 分钟的安全意识培训。

4、进行测试数据统计分析。

测试判断标准

1、是否已访问邮件中钓鱼网站的 URL 并输入用户名、密码等信息进行登陆操作;是否扫描了伪造的支付二维码并输入金额进行支付操作;是否下载并打开了钓鱼邮件中包含宏指令的 Word、Excel 等附件。

2、根据设计的钓鱼网站(安全意识教育页面)的访问量,来判断相关钓鱼实际触发的数量级。

钓鱼邮件模板

本次测试的钓鱼模板包括钓鱼邮件模板设计和安全警示教育页面模板设计,针对钓鱼邮件的测试场景需要,可设计以下几种钓鱼邮件模板:

1、URL 链接钓鱼邮件模板:

该模板将仿冒促销活动的推送邮件,邮件模板包含以下内容:

1)介绍活动情况;

2)设置可跳转 URL 或者文字超链接,点击链接登录了解活动详情;

注:该钓鱼邮件的链接页面将仿冒登录页面,通过后台程序判断用户是否输入用户名密码并点击登录按钮的方式判定用户是否被钓鱼成功。钓鱼过程中不收集用户的用户名、密码等信息。

2、二维码扫描钓鱼邮件模板:

该模板将仿冒 1 元观影活动的推送邮件,邮件模板包含以下内容:

1)介绍活动情况;

2)邮件中填充可供扫描的支付二维码,微信扫描二维码完成支付;

注:该钓鱼邮件的二维码链接页面将仿冒微信转账的支付页面,通过后台程序判断用户是否输入转账金额并点击确认支付按钮的方式判定用户是否被钓鱼成功。钓鱼过程中不进行收付款行为,不收集用户微信号等个人信息。

3、文件下载钓鱼邮件模板:

该模板将仿冒满意度调查的通知邮件,邮件模板包含以下内容:

1)通知开展满意度调查;

2)邮件附件为调查问卷的Word 或 Excel 文档,下载附件后查看调查问卷内容和具体操作步骤;

注:该钓鱼邮件的附件中将添加自动打开钓鱼链接的宏指令。通过判断用户是否下载并打开包含宏指令的文件的方式判定用户是否被钓鱼成功。附件中的宏指令仅包含自动打开钓鱼链接的功能,不包含宏病毒。

测试同时需要设计安全意识教育页面模板,以对受害员工进行安全意识教育。安全意识教育将通过大量的典型安全事件导入,从感性认知层面对目前的信息安全威胁、社会工程学攻击形式给予直观、形象的描述,使员工能对当前信息安全威胁有一个深刻的认识;同时通过案例介绍的方式,对目前流行的社会工程学攻击手段进行分析,并阐明具体的防范措施。

Tips

风险控制:

a、钓鱼邮件不含任何病毒、蠕虫、后门等恶意程序代码,不执行任何对系统有影响的操作。

b、钓鱼邮件不收集账号、密码等个人信息。

原文发布于微信公众号 - 安恒信息(DBAPP2013)

原文发表时间:2017-12-18

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

一大波iCloud钓鱼网站来袭 果粉们会分辨吗?

国外的FireEye实验室有一套自动化系统,这套系统能够主动侦测最新注册的恶意域名。所谓的恶意域名,绝大部分都是伪装成很多人知道的常用域名,以此来达到“恶意”的...

3215
来自专栏云计算D1net

从各“瘫痪”事件看如何安全备份数据库到云存储

近几周互联网企业频繁暴出各类“瘫痪”事件,网易、支付宝也身负重伤,而5月28日携程网站服务及App全站瘫痪,从事故发生至恢复长达近12小时,造成的损失不言而喻。...

3769
来自专栏逻辑熊猫带你玩Python

Linux | “搭建verilog学习环境”

写这一篇文章的初衷一个是分享给各位想进入IC领域的读者以及感谢一位贵人。VerilogHDL是国内目前最流行的硬件描述语言。关于硬件描述语言的问题,这里并不多谈...

7983
来自专栏FreeBuf

浅谈开源web程序后台的安全性

一、前言 不知怎的最近甚是思念校园生活,思念食堂的炒饭。那时会去各种安全bbs上刷刷帖子,喜欢看别人写的一些关于安全技巧或经验的总结;那时BBS上很多文...

2049
来自专栏黑白安全

微软正式停止支持 Windows 10 一周年更新

在“周二更新补丁日”,微软今天宣布停止支持 Windows 10 version 1607,也就是 Windows 10一周年更新 14393 版本,包括 Wi...

1002
来自专栏黑白安全

Chrome浏览器加固修复幽灵漏洞:内存占用将多出13%

数据显示,Chrome(Chromium内核)浏览器的全球用户量已经超过了10亿,牢牢占据No.1。

934
来自专栏腾讯技术工程官方号的专栏

你不知道的Android SDK安全测试

image.png 作者介绍:anglia,2014年加入腾讯TEG,一直致力于信鸽和MTA两款产品的移动终端 引言 作为Android手机用户中的一枚残粉...

2485
来自专栏FreeBuf

打造刀郎安全PHP系统

有一段时间没有露面的,现在出来和各位打个招呼,今天给大家带来话题是打造安全php系统,web安全防不胜防,那么我们怎么尽可能的做到安全啦?

1445
来自专栏北京马哥教育

Hadoop运维记录 | Zeppelin启用https和Hack内核的过程

本文是在工作过程中讲Zeppelin启用https过程和Hack内核以满足客户需求的记录。 原因是这客户很有意思,该客户中国分公司的人为了验证内网安全性,从国...

3689
来自专栏Seebug漏洞平台

摄像头漏洞挖掘入门教程(固件篇)

据 IT 研究与顾问咨询公司 Gartner 预测[1],2017 年全球物联网设备数量将达到 84 亿,比 2016 年的 64 亿增长31%,而全球人口数量...

2651

扫码关注云+社区