HIT专家网
来源:HIT专家网 作者:北京友谊医院信息中心 赵现 王力华
4月29日是首都网络安全宣传日。北京友谊医院在当天首次组织了面向全员的钓鱼邮件演练,旨在模拟真实的钓鱼邮件攻击,通过亲身体验让大家感受钓鱼邮件攻击带来的严重后果,提高大家对钓鱼攻击的安全防范意识。
钓鱼邮件攻击,指黑客伪装成同事、朋友或权威机构等,通过发送电子邮件的方式,诱使受害者通过回复邮件,或点击嵌入邮件正文的恶意链接,或打开邮件附件运行黑客制作的木马或病毒程序等方式,窃取敏感信息,进而实施进一步勒索、诈骗或破坏活动的网络攻击行为。钓鱼攻击将“人”当作攻击目标的特点,使得钓鱼邮件成为每个用户都有可能遭遇的攻击情形,对医院而言同样也构成严重的网络安全威胁。
应对钓鱼邮件攻击,仅凭技术手段很难有效防御,必须通过宣传,不断提高所有计算机用户的网络安全意识,提醒这类安全风险的存在、危害和特点,在工作和生活中做到“四不要”,即“不要点击来源不明的邮件,不要打开来源不明的网站,不要安装来源不明的软件,不要插拔来历不明的存储介质”。
1.我们将钓鱼邮件演练目的定位为网络安全宣传活动。
我们将本次演练的目的定位为“4.29首都网络安全宣传日”医院网络安全宣传活动,重点是提高医院工作人员防范钓鱼邮件攻击的意识。如果有演练参与者“中招”,点击了钓鱼邮件中的链接,并在仿冒网站输入个人手机号等敏感信息,就会看到显眼的“你中招啦”的提示,以及图文并茂宣传钓鱼邮件危害、如何防范钓鱼邮件攻击等知识点的宣传网页。
2.通过院内系统收集演练邮箱地址,设计钓鱼内容。
钓鱼邮件攻击演练的理想环境,是借助机构统一管理配置的官方互联网邮箱。这既可以确保演练的范围精准覆盖,也能够确保钓鱼邮件不会被邮箱安全系统过滤而导致发送失败。
但是,由于我院不具备这样的条件,最终我们通过企业微信等医院运营系统收集了400余名员工的邮箱地址用于本次演练。所有演练邮箱地址均属于网易、腾讯等互联网公共邮件服务。这些公共邮箱自带的安全机制可能会将演练邮件拦截、标记为垃圾邮件或提示存在风险,在一定程度上影响演练的效果。实际上,据事后统计,约35%的邮件由于公共邮件服务的安全防护机制,而没能正常送达收件人邮箱。
在钓鱼邮件主题的选择上,我们最初拟定了“上级单位满意度调查”、“论文退稿”、“时事新闻轶事”等多个备选主题,最终考虑到演练时间临近“五一”国际劳动节,确定以“节日消费券福利”为主题制作钓鱼邮件,并仿冒某电商平台制作了钓鱼邮件配套的仿冒活动网站。发送的钓鱼邮件内容包含仿冒网站的链接,每个邮件推送的网站链接中包括唯一的用户识别参数,以便在演练后台追踪每一封邮件的攻击效果。
3.组织问卷回访,加强演练对参与者安全意识宣传效果。
4月29日,演练钓鱼邮件发出后,我们持续监控演练后台数据。当演练持续到第三周末时,已连续5天没有出现新的中招者,我们决定结束演练并关闭仿冒网站。
然后,我们通过院内消息平台向所有演练参与者发放了调查问卷,一方面介绍演练情况,再次宣传防范钓鱼邮件的重要性和要点;一方面收集演练参与者在演练过程中的反馈,征集意见和建议,为未来更好地开展演练工作积累经验和数据。
4.钓鱼邮件演练可以全员参与,应该作为网络安全宣传和培训的常备活动。
本次演练最终成功发送钓鱼邮件260余封,共有11人访问了钓鱼邮件中的仿冒网站,其中5人在仿冒网站中输入了敏感信息。
可以看到,即使本次演练以安全意识宣传为主,刻意降低了钓鱼邮件识别难度,在接近于“开卷考试”的演练环境下,仍有2%-4%的员工可能中招,足以说明医院必须持续重视钓鱼攻击带来的网络安全威胁。
对没有访问仿冒网站的演练参与者“未中招”原因的调研显示,约60%的参与者在收到邮件后意识到了邮件存在问题,或已养成“不会阅读陌生邮件”、“不会点击陌生邮件附件”的习惯,具备一定的钓鱼邮件防范意识;超过20%的参与者表示,“已不常使用邮箱,在演练期间没有查看过邮箱”;有10%的参与者表示,演练邮件在垃圾邮件箱中且不会阅读垃圾邮件;其余未中招原因为阅读了邮件,但“对邮件内容不感兴趣”和“访问仿冒网站后意识到网站有问题”,而没有被网站诱导输入信息。
在调查问卷的最后,我们还对演练参与者个人家庭电脑安全情况进行了调查。数据显示,大多数人对于电脑的安全防护已经比较重视,普遍可以做到电脑安装、运行杀毒软件并及时更新,以及不从来历不明的网站下载安装软件等安全注意事项,但在家用路由器和智能家居安全、移动安全和Wi-Fi安全等方面存在明显不足,需要在未来工作中有针对性地加强相关内容宣传。
总之,大家普遍对本次活动注重体验和反馈的“演练+回访”的模式表示了肯定和支持。北京友谊医院将总结本次演练经验,持续开展相关活动,提醒全院职工“网络安全和每个人息息相关”,不断提高全员对常见网络安全威胁的防范意识和保护能力。
精彩不容错过!
我们将尽快与您联系!
【责任编辑:晓青】
评论前必须登录!
注册