大家安安,今天我們來談談釣魚郵件。
(Powered By Microsoft Designer)
你各位 IT 一定都有遇過公司要求提升員工的資安意識,這件事情說簡單也不簡單,就上個課就好。
但你該怎麼做,才能統計出上課之後的成效,以及怎麼做會是最輕鬆的呢?今天的文章,分享給你們。
釣魚郵件是一種詐騙手法,它通過發送假冒的電子郵件,試圖誘騙收件人提供個人或財務資料,通常看起來非常正常,比如來自銀行、政府或網上商店,但其實都是騙局。
釣魚郵件的目的是盜取你的身份、錢財或重要資料,如果你收到了可疑的電子郵件,最好不要點擊任何鏈接或附件,也不要回復或轉發。
公司內部為何要防範釣魚郵件?因為如果員工在你的公司內網/公司的電腦打開了可疑的程式,就會讓公司內部的資料暴露在風險當中,老闆就會不開心。
IT 們可以進行以下的步驟,來產生一個讓老闆開心的報告:
在課程導入之前,我們需要了解公司內部員工對釣魚郵件敏感度。
這可以通過進行釣魚郵件模擬攻擊,然後記錄員工的反應和誤擊率,進行統計。
你可以直接發出超級像的釣魚郵件來進行統計,像是:
當然因為小弟公司的語言設定,讓台灣的員工可以輕易閃掉這些釣魚文件,如果內容都是英文的,點下去的機率絕對超高。
針對步驟 1 計算出的的結果,就可以開始對員工進行釣魚郵件的教學課程。
這個課程應該包括釣魚郵件的識別技巧、如何將可疑郵件回報給公司 IT 以及確保郵件安全性,可以透過網絡培訓或實體課程形式進行。 (很多公司會請資安人員上去表演講課)
上完課之後,要持續的對員工發出釣魚郵件,看看員工對這些釣魚郵件有沒有感覺。
通常員工會開始在公司的群組回報他們收到奇怪的郵件,IT 這時候可以笑而不語,繼續進行模擬攻擊就對了。
步驟 3 的郵件發送完後,要持續進行誤點的統計。
如果誤點率還是很高,那就要回到步驟 2,繼續教課,總不會有人都講不聽吧。
KnowBe4 是一個資安意識培訓平台,主要用於協助企業培訓員工的安全意識,教員工識別並遏阻潛在網絡釣魚攻擊和其他安全威脅。
它提供了工具讓公司可以進行釣魚郵件模擬攻擊、統計和線上課程的導入,可以說是完美解決的今天文章的痛點。
TrendMicro - Phishing
易璽科技 - KnowBe4