前言

每年公司都需要進行兩次社交工程，因此我選擇使用 Gophish 這款開源軟體來執行這些測試
然而，在使用 Gophish 進行社交工程之前，我一直在思考應該如何設計這些測試，是否應該先了解每個部門的偏好，以便設計針對性的社交工程，還是應該透過教育訓練來讓員工明白不要輕易點擊不明郵件？

在之前的社交工程過程中，我發現有些使用者會主動致電機構以確認資訊，這讓我感到這種測試有些像是一種欺騙，測試效果不甚明顯，且缺乏明確的證據來證明社交工程能有效降低釣魚攻擊的成功率

2024年5月24日， Google Security Blog 發表了一篇文章《On Fire Drills and Phishing Tests》討論了釣魚測試在組織中的有效性及其潛在的負面影響，文章指出，目前常見的釣魚測試通常涉欺騙員工點選假釣魚郵件，這樣的測試可能會在員工中產生不信任感和壓力，並不一定能有效降低實際釣魚攻擊的成功率

社交工程過程中可能帶來一些有害的副作用，內容提到：

1. 目前無證據顯示這些測試能有效減少網路釣魚攻擊：
   測試的實際效果仍存在爭議
2. 對員工的負面影響：
   測試過程中可能會破壞員工與安全團隊之間的信任，使員工感到被欺騙和不舒服
3. 透過教育訓練方式：
   希望可以教導使用者如何發現釣魚郵件和社交工程，透過教育提升員工資安意識的關鍵，可以幫助他們在實際情況中更好地識別和應對威脅
4. 替代方法：
   文章建議採用更加透明教育方式，類似於火災演習，讓員工知道他們正在接受測試

Gophish 介紹

Gophish 是一款開源網路釣魚模擬工具，企業和組織提升網路資安意識而設計，管理者可以輕鬆設計、部署和管理釣魚測試活動，以測試和提升員工的網路資安意識，Gophish 提供了直覺的使用者介面和詳細的報告功能，使管理者能夠有效追蹤和分析測試結果，並進行相應的培訓

Gophish 心智圖介紹：

主要功能：

• 活動設計：Gophish 允許管理者自訂釣魚郵件內容、網頁模板和活動設定，以模擬真實的釣魚攻擊
• 報告與分析：系統提供詳細的報告，顯示各種活動資訊，幫助管理者評估當前的釣魚狀況

使用場景：

• 員工資安意識測試：透過模擬釣魚攻擊，評估員工對釣魚攻擊的識別能力
• 員工培訓：測試結果進行針對性的培訓，提升資安意識

希望能提升企業的資安意識，透過釣魚信件模擬及詳細分析，Gophish 能協助管理者了解員工的資安意識水平，並根據測試結果進行相應的培訓與改進，從而加強企業整體的網路安全防護措施

接下來 ~ 我們必須要了解一下歷史

Gophish 歷史

Gophish 是由 Jordan Wright 於 2016 年建立的開源釣魚模擬工具，在幫助組織測試並提升員工的網路資安意識
它提供了一個使用者可以輕鬆建立、部署和管理釣魚測試活動，並生成詳細的報告
Gophish 這款工具支持 JSON API，使開發人員和系統管理員能夠管理和執行模擬釣魚郵件活動，從而更有效地進行測試和培訓

結論

釣魚郵件攻擊依然是一個不可忽視的威脅
教育員工識別並報告這些威脅，是提升整體資訊安全的重要補充措施
然而，懲罰性的測試方式並不能有效提升資安意識，反而可能破壞團隊的信任，我們應該採用更為有效的做法，透過持續的教育和培訓來強化員工的資安意識，這樣的策略不僅能有效應對威脅，還能營造更和諧的工作環境，從而提升整體的網路安全性

下一篇會開始介紹如何架設 Gophish ~

參考資料

• Gophish_官網
• Gophish_API
• On Fire Drills and Phishing Tests
• Gophish_github