邮箱安全服务专题 | 发现那些对钓鱼邮件安全意识淡薄的员工

上一期我们介绍了针对邮箱应用层和协议层面的安全检测,目前针对邮箱系统自身风险的服务内容已经向大家介绍完了。然而保障了邮箱自身的系统安全还是远远不够的,每一篇邮件的内容导致的人员主观或者被动操作都会直接产生安全问题,例如钓鱼邮件,其利用伪装的电邮,欺骗收件人将账号、口令等信息回复给指定的接收者;或引导收件人连接到特制的网页,这些网页通常会伪装成和真实网站一样,如银行或理财的网页,令登录者信以为真,输入信用卡或银行卡号码、账户名称及密码等而被盗取。

频发的APT攻击事件告诉我们,员工都是企业安全最薄弱的环节。在发起攻击时,黑客往往采用社会工程学手段对目标组织的员工下手,而这些手段中首当其冲的就是邮件钓鱼。据统计,约92%的数据泄露事件与社会工程学事件和鱼叉式网络钓鱼攻击有关。网络钓鱼攻击通常是电子邮件钓鱼,然后骗取受害者点击恶意链接,最后使用恶意的漏洞Payload攻击受害者计算机。换句话说,如果一个员工误点击恶意链接,黑客可能被盗取账户信息,或者电脑被人种上木马,导致企业内网因此沦陷,业务数据和敏感信息也会陷入巨大风险之中。

钓鱼邮件测试方式

我们的测试工作从钓鱼邮件构造、邮件钓鱼和安全意识教育等方面展开。钓鱼邮件的模板中将设置若干相对明显的伪造信息点,识别难度处于中等水平,测试着力于提高员工安全意识。

针对向内外网邮箱发送钓鱼邮件的需要,测试将在互联网环境下搭建邮件服务器,通过该邮件服务器向测试邮箱列表中的内网 Notes 邮箱地址和互联网邮箱地址发送钓鱼邮件。

针对向受害员工进行安全警示教育的需要,测试将分别在互联网环境和内网环境下搭建两台钓鱼 Web 服务器。两台服务器目录下均包括安全警示教育页面文件、用户访问记录文件、用户访问量统计文件等。

当用户点击邮件中的 URL 链接并输入用户名密码等信息进行登陆操作、或者扫描支付二维码并输入金额进行支付操作、或者下载并打开包含宏指令的文件时,将自动转向安全警示教育页面。

测试过程

图:钓鱼邮件测试方法图示

测试通过发送钓鱼邮件给用户,诱导用户点击邮件中的URL 链接、或者扫描二维码、或者下载文件,连接到钓鱼 Web 服务器。钓鱼 Web 服务器上部署Web 站点,并记录用户访问时的信息。

在具体的测试中有下面四个步骤:

1、通过搭建邮件服务器,向内网 Notes 邮箱及互联网邮箱的个人用户群发钓鱼邮件。

2、用户点击 URL 链接、或者扫描二维码、或者下载文件,将弹出参与测试的告知信息,并记录受害者人数等相关信息。

3、受害员工链接自动重定向至社会工程警示教育页面,进行约 5 分钟的安全意识培训。

4、进行测试数据统计分析。

测试判断标准

1、是否已访问邮件中钓鱼网站的 URL 并输入用户名、密码等信息进行登陆操作;是否扫描了伪造的支付二维码并输入金额进行支付操作;是否下载并打开了钓鱼邮件中包含宏指令的 Word、Excel 等附件。

2、根据设计的钓鱼网站(安全意识教育页面)的访问量,来判断相关钓鱼实际触发的数量级。

钓鱼邮件模板

本次测试的钓鱼模板包括钓鱼邮件模板设计和安全警示教育页面模板设计,针对钓鱼邮件的测试场景需要,可设计以下几种钓鱼邮件模板:

1、URL 链接钓鱼邮件模板:

该模板将仿冒促销活动的推送邮件,邮件模板包含以下内容:

1)介绍活动情况;

2)设置可跳转 URL 或者文字超链接,点击链接登录了解活动详情;

注:该钓鱼邮件的链接页面将仿冒登录页面,通过后台程序判断用户是否输入用户名密码并点击登录按钮的方式判定用户是否被钓鱼成功。钓鱼过程中不收集用户的用户名、密码等信息。

2、二维码扫描钓鱼邮件模板:

该模板将仿冒 1 元观影活动的推送邮件,邮件模板包含以下内容:

1)介绍活动情况;

2)邮件中填充可供扫描的支付二维码,微信扫描二维码完成支付;

注:该钓鱼邮件的二维码链接页面将仿冒微信转账的支付页面,通过后台程序判断用户是否输入转账金额并点击确认支付按钮的方式判定用户是否被钓鱼成功。钓鱼过程中不进行收付款行为,不收集用户微信号等个人信息。

3、文件下载钓鱼邮件模板:

该模板将仿冒满意度调查的通知邮件,邮件模板包含以下内容:

1)通知开展满意度调查;

2)邮件附件为调查问卷的Word 或 Excel 文档,下载附件后查看调查问卷内容和具体操作步骤;

注:该钓鱼邮件的附件中将添加自动打开钓鱼链接的宏指令。通过判断用户是否下载并打开包含宏指令的文件的方式判定用户是否被钓鱼成功。附件中的宏指令仅包含自动打开钓鱼链接的功能,不包含宏病毒。

测试同时需要设计安全意识教育页面模板,以对受害员工进行安全意识教育。安全意识教育将通过大量的典型安全事件导入,从感性认知层面对目前的信息安全威胁、社会工程学攻击形式给予直观、形象的描述,使员工能对当前信息安全威胁有一个深刻的认识;同时通过案例介绍的方式,对目前流行的社会工程学攻击手段进行分析,并阐明具体的防范措施。

Tips

风险控制:

a、钓鱼邮件不含任何病毒、蠕虫、后门等恶意程序代码,不执行任何对系统有影响的操作。

b、钓鱼邮件不收集账号、密码等个人信息。

原文发布于微信公众号 - 安恒信息(DBAPP2013)

原文发表时间:2017-12-18

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏BeJavaGod

分布式系统的那些事儿(四) - MQ时代的通信

之前在讲RPC通信的各种好处,特别好用,但是RPC并不是万能的,也并不是适用于各种场景的,因为他是同步的;现如今很多场景下的调用都是异步的,系统A调用B后,并不...

37940
来自专栏农夫安全

Linux下Arp欺骗攻击的另类应用之屌丝泡妞记

本文为小编在新东文章整理中阅读后发现不错,如有侵权联系作者删除 EveryNote 真是个好动西,跨平台的笔记本工具。好到,平时记录一些自己的东西,都懒得在写东...

43680
来自专栏从零开始的linux

web

Web网络服务也叫 WWW(World Wide Web),一般是指能够让用户通过浏览器访问到互联网中文档等资源的服务。目前提供WEB网络服务的程序Ap...

33760
来自专栏FreeBuf

浅谈开源web程序后台的安全性

一、前言 不知怎的最近甚是思念校园生活,思念食堂的炒饭。那时会去各种安全bbs上刷刷帖子,喜欢看别人写的一些关于安全技巧或经验的总结;那时BBS上很多文...

22390
来自专栏云鼎实验室的专栏

【黑客解析】黑客是如何实现数据库勒索的 ?

前言 每一次重要通用漏洞的爆发总是会带来一片腥风血雨,任何微小的漏洞,基于43亿IPv4地址这个大基数,总是可以被放大! 从MongoDB开始到MySQL,黑客...

2.6K70
来自专栏黑白安全

微软正式停止支持 Windows 10 一周年更新

在“周二更新补丁日”,微软今天宣布停止支持 Windows 10 version 1607,也就是 Windows 10一周年更新 14393 版本,包括 Wi...

10920
来自专栏FreeBuf

一大波iCloud钓鱼网站来袭 果粉们会分辨吗?

国外的FireEye实验室有一套自动化系统,这套系统能够主动侦测最新注册的恶意域名。所谓的恶意域名,绝大部分都是伪装成很多人知道的常用域名,以此来达到“恶意”的...

39250
来自专栏野路子程序员

【解决方案+问题分析】微信分销会员上下级关系出现混乱,剖析全过程

40570
来自专栏FreeBuf

恶意软件Darkleech大肆感染Apache服务器

假设每台服务器十个站点的话,至少有20000个网站被感染,其中包括知名网站如《洛杉矶时报》。 Darkleech主要使用了Apache的模块注入iframe到受...

20960
来自专栏企鹅号快讯

bt、磁力怎么下载?老司机飙车终极思路……

百度云解析失败,迅雷也是如此?无法下载BT!5大高分下载神器,你用过几个? ——wit小学生 最近好多小伙伴们向小学生吐槽,下载的BT不是没进度就是提示敏感资源...

9.4K100

扫码关注云+社区

领取腾讯云代金券