真假釣魚郵件 - 提升資安意識的課程導入

大家安安，今天我們來談談釣魚郵件。

(Powered By Microsoft Designer)

你各位 IT 一定都有遇過公司要求提升員工的資安意識，這件事情說簡單也不簡單，就上個課就好。
但你該怎麼做，才能統計出上課之後的成效，以及怎麼做會是最輕鬆的呢？今天的文章，分享給你們。

釣魚郵件？是什麼？

釣魚郵件是一種詐騙手法，它通過發送假冒的電子郵件，試圖誘騙收件人提供個人或財務資料，通常看起來非常正常，比如來自銀行、政府或網上商店，但其實都是騙局。
釣魚郵件的目的是盜取你的身份、錢財或重要資料，如果你收到了可疑的電子郵件，最好不要點擊任何鏈接或附件，也不要回復或轉發。
公司內部為何要防範釣魚郵件？因為如果員工在你的公司內網/公司的電腦打開了可疑的程式，就會讓公司內部的資料暴露在風險當中，老闆就會不開心。

該如何做呢？

IT 們可以進行以下的步驟，來產生一個讓老闆開心的報告：

步驟1：誤點計算 之 基準測試

在課程導入之前，我們需要了解公司內部員工對釣魚郵件敏感度。
這可以通過進行釣魚郵件模擬攻擊，然後記錄員工的反應和誤擊率，進行統計。
你可以直接發出超級像的釣魚郵件來進行統計，像是：

當然因為小弟公司的語言設定，讓台灣的員工可以輕易閃掉這些釣魚文件，如果內容都是英文的，點下去的機率絕對超高。

步驟2：教學課程 - 訓練你的員工!!!

針對步驟 1 計算出的的結果，就可以開始對員工進行釣魚郵件的教學課程。
這個課程應該包括釣魚郵件的識別技巧、如何將可疑郵件回報給公司 IT 以及確保郵件安全性，可以透過網絡培訓或實體課程形式進行。 (很多公司會請資安人員上去表演講課)

步驟3：假釣魚郵件的發送 - 考試囉!!!

上完課之後，要持續的對員工發出釣魚郵件，看看員工對這些釣魚郵件有沒有感覺。
通常員工會開始在公司的群組回報他們收到奇怪的郵件，IT 這時候可以笑而不語，繼續進行模擬攻擊就對了。

步驟4：誤點統計 - 看到結果!!!

步驟 3 的郵件發送完後，要持續進行誤點的統計。
如果誤點率還是很高，那就要回到步驟 2，繼續教課，總不會有人都講不聽吧。

KnowBe4

KnowBe4 是一個資安意識培訓平台，主要用於協助企業培訓員工的安全意識，教員工識別並遏阻潛在網絡釣魚攻擊和其他安全威脅。
它提供了工具讓公司可以進行釣魚郵件模擬攻擊、統計和線上課程的導入，可以說是完美解決的今天文章的痛點。

Reference :

TrendMicro - Phishing
易璽科技 - KnowBe4