做完SniperPhish的功能操作後,您可能不禁覺得沒有中小型企業來參與社交工程演練,會感覺很單調呢!因此,我特別邀請兩組團隊,另外也做自我測試,以保證這個SniperPhish能正常運作。由於中華民國個人資料保護法有規定不得隨意公開使用者的重要資料,因此就用概述來代替之。
曾在2025年5月,在製作大學專題時,我向專題指導老師取得一間公司的電子郵件帳號,於SniperPhish的User Group欄位輸入各自的名稱與電子郵件帳號,接著又從另一個專題組員取得他朋友的電子郵件帳號,同樣也在SniperPhish的User Group欄位輸入各自的名稱與電子郵件帳號。與此同時,我也為自己做了實驗,測試這個系統能不能成功,後來發現,這個系統測試是成功的,能夠紀錄重要內容,如圖!
除此之外,SniperPhish的社交工程演練系統宛如智慧資安科技股份有限公司(uniXecure Technology Corporation)推出的「資安意識人因分析系統」(Human Error Insight System,簡稱HEIS)那樣,可以為該公司員工做一次社交工程演練,以防您的資料因為您對資安的知識搞不知而輕易被盜用與損毀,只不過「HEIS資安意識人因分析系統」屬封閉軟體,需要付費且需要專案洽談才能用,因此個人用戶通常不能適用。以下是SniperPhish與「HEIS資安意識人因分析系統」的功能與應用情境比較:
| 分類 | SniperPhish | Serve-HEIS |
|---|---|---|
| 釣魚模擬功能 | 可自訂郵件與誘捕頁面 | 支援多類型社交工程攻擊模擬 |
| 行為追蹤與報表 | 基本追蹤與視覺化統計 | 詳細個別行為分析與自動報表 |
| 資安意識訓練 | 無內建課程模組 | 提供互動課程、測驗與訓練進度追蹤 |
| 使用者風險評分 | 無 | 行為風險等級與告警管理 |
| 系統整合 | 支援 AD 匯入 | 整合 LDAP、AD、Email 等內部系統 |
| 多單位集中管理 | 較難擴充 | 適合大型組織統一管理 |
| 合規與稽核 | 需自行處理合規報表 | 符合金融與政府單位要求 |
以下是SniperPhish與「HEIS資安意識人因分析系統」的缺點比較:
| 分類 | SniperPhish 缺點 | Serve-HEIS 缺點 |
|---|---|---|
| 語言與介面支援 | 僅英文介面,對中文使用者不友善 | 支援繁體中文介面 |
| 教學訓練模組 | 無內建資安訓練內容 | 內建互動式訓練,但需配合商業模組 |
| 風險評估與報表 | 缺乏完整風險分析與合規報表功能 | 有完整報表,但格式與功能受限於商業版本 |
| 技術維護支援 | 僅社群支援,遇錯誤需自行處理 | 需依賴廠商提供維護與更新,成本較高 |
| 部署與系統整合 | 安裝需自行建構伺服器環境,較具技術門檻 | 雖可整合 AD/SSO 等,但與其他內部系統整合仍需額外開發 |
| 成本與授權 | 完全免費開源,但無商業支援 | 商業授權費用高,對預算有限的單位不利 |
| 彈性與可自訂性 | 可修改原始碼,高彈性 | 為封閉式平台,無法客製功能 |
| 系統資源需求 | 系統輕量、簡單部署 | 功能完整但系統較重,不適合單一釣魚測試用途 |
sinsyuan0522
iThome鐵人賽
看影片追技術