网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

钓鱼攻击是一种社会工程学攻击，即攻击者通过伪装成可信实体的方式来欺骗用户，以获取敏感信息或进行其他恶意行为。通常，攻击者会通过电子邮件、短信、即时通讯工具等方式向受害者发送虚假信息，伪装成信任的组织或个人，要求受害者提供敏感信息，例如登录凭据、银行账户信息、身份证号码等。

钓鱼攻击过程中通常会使用的社会工程学技巧众多，例如诱骗、威胁、欺骗等手段来引导受害者操作。攻击者通常会利用人们的好奇心、恐惧心理、贪婪心理、信任感等心理因素，从而让受害者陷入陷阱。另外，还可以利用漏洞或技术手段来进一步加强攻击效果，例如伪造网站、安装恶意软件、利用网络钓鱼、欺骗受害者转账等。

对于企业信息安全建设而言，加强员工安全意识是安全教育的工作之一，强安全意识的人员可以避免、缓解企业在面对外部攻击或渗透攻击时风险和损失。对于个人安全而言，警惕各种未知来源的信息，并在提供敏感信息之前进行仔细的验证和确认，提升安全意识亦能够避免信息诈骗、钓鱼带来的个人财产损失。 在企业中进行常态化钓鱼攻击演练，可以帮助员工了解钓鱼攻击的手段、形态，增进对于钓鱼攻击的识别和意识防范，从而提升企业内部安全意识与能力。

目的

钓鱼攻击演练的主要目的是为了测试和提高企业或组织对钓鱼攻击的防御能力，帮助员工和管理层识别和避免钓鱼攻击，降低企业或组织的安全风险。

测评安全防护能力：钓鱼攻击演练可以帮助组织评估自身的安全防护能力，发现安全漏洞和薄弱点，制定针对性的安全计划和策略，提高组织的安全防范水平。

提高员工安全意识：通过钓鱼攻击演练，组织可以提高员工对安全威胁的认识和意识，帮助员工识别和避免钓鱼攻击，减少人为疏忽或错误操作带来的安全风险。

降低安全风险：钓鱼攻击演练可以帮助组织及时发现并处理钓鱼攻击事件，减少被攻击造成的数据泄露、业务中断等安全风险。

改善组织安全文化：通过钓鱼攻击演练，组织可以加强安全培训和意识教育，建立健康的安全文化和习惯，增强组织的安全素质和反欺诈能力。

演练流程

钓鱼攻击演练是在企业内部进行的模拟攻击演练，旨在通过无危害的方式检测、培训、改善企业员工的信息安全意识。同时，需要企业高层的批准和同意，结合企业的办公场地、员工特点、办公特点等设计实施方案，以及考虑演练的效果。

钓鱼攻击演练的流程如下：

明确演练的受众：对演练受众进行确认，包括规避敏感人群或岗位；

受众环境调研：对演练受众工作内容、习惯和场景进行调研；

钓鱼方案设计：基于调研结果进行方案设计，确认场景和技术方案；

管理层授权批准：向管理层汇报演练方案，并获得管理层授权；

通知企业相关方：同步相关安全或运维部门方案，避免演练引起误会；

钓鱼样本制作：根据演练方案制作相关的钓鱼样本、环境或平台；

钓鱼演练执行：执行演练方案，并监测执行过程，做好应急准备；

演练结果分析：对于演练结果进行分析，检验演练效果及风险特点；

安全策略优化：根据演练结果调整必要的安全策略、安全控制措施；

安全意识宣贯：基于演练结果面向员工开展安全意识宣传、培训或考试；

方案设计

钓鱼攻击演练中所用到技术多样，根据攻击目标的特点和攻击的方式，可以分为：钓鱼攻击、鱼叉攻击、水坑攻击。本方案中的钓鱼攻击演练仅指钓鱼攻击。

根据攻击目标所用到的媒介，常见的钓鱼攻击方式包括并不限于：邮件钓鱼、WiFi钓鱼、短信钓鱼、语音（电话）钓鱼、U盘钓鱼、宣传物钓鱼。

演练方案需要结合受众群体和受众分析的结果进行详细设计，方案内容包括：

方案执行时间

方案技术选型

场景内容设计

钓鱼统计分析

技术选型

钓鱼邮件

常见的钓鱼邮件是通过两个部分内容的伪造来构建邮件内容：发件人和发件内容，发件人可以是外部发件人或伪造的企业内部邮箱，发件内容的伪造包括链接伪造和附件伪造。 链接伪造包括超链接的伪造，通过href标签和<a>标签的不同构造虚假链接，以及页面伪造，通过构建邮件内容的HTML信息呈现伪造邮件图文和按钮信息，从而欺骗访问者点击图片链接或按钮链接，并在链接中呈现伪造的登录页面或注册页面获取员工账户信息，该信息可以作为演练结束后的分析源。