院校网络钓鱼测试

admin

网络安全需要从青少年学生抓起,尽管移动社交如群沟通很流行,但是电子邮件具有顽强的生命力,电子邮箱是校园师生必备的工作、学习中的沟通系统,可早通过电子邮件的钓鱼攻击却很常见。近几年针对国内高校的钓鱼攻击不时见诸于媒体,没有被发现或曝光的相信也还不少。如何防范网络钓鱼特别是通过邮件渠道的钓鱼攻击呢?在邮箱系统管理方面,可以加强一些技术防范措施;在人员意识方面,也可以加强一些安全意识教育,同时可以采取一些网络钓鱼测试,让师生们在并不冒险的情况下,参与安全攻击与防御的亲身演练,通过这种互动,以获得全面的钓鱼防御。

不同院校的财政预算各不相同,可以说资源分配非常不均。对此,昆明亭长朗然科技有限公司网络安全专员董志军称:尤其是不少民办高校,财源紧张,通过没有预算购买网络钓鱼测试方面的外部服务。在这种情况下,院校网络安全负责团队可以考虑少花钱甚至不花钱来进行网络钓鱼测试。在实施这些测试时,请注意以下几点:

  • 确保遵守所有相关的法律和学校政策。
  • 事先获得适当的授权和批准。
  • 不要收集或存储实际的敏感信息。
  • 测试后及时向参与者解释测试的目的和结果。
  • 将测试作为教育的机会,而不是惩罚的手段。

在了解了上述前置合规条件之后,我们需要一些更详细的实施建议。有的院校邮箱管理员可能会说:我就编写一封钓鱼邮件,然后发送给所有人,看谁会回复会上钩,不就这么简单吗?道理上是这样,但是这显然是最简单的方法,不够科学。科学的方法有如下具体实施步骤:

模拟钓鱼邮件:

  • 使用现有的电子邮件系统,创建看似合法但实际上是测试用的钓鱼邮件。这些邮件可以模仿常见的钓鱼场景,如要求更新密码、确认账户信息等。
  • 设计3-5种不同类型的钓鱼邮件模板,如:
    a) 假冒IT部门要求更新密码
    b) 模仿学校财务处发送的奖学金通知
    c) 伪装成学校图书馆的逾期通知
  • 使用类似学校官方邮箱的发件人地址(如:[email protected])
  • 在邮件中加入学校logo和正确的联系信息,增加真实性
  • 创建一个跟踪系统,记录邮件的打开率和链接点击率

开发简单的网页:

  • 创建模仿学校官方网站或常用服务(如学生管理系统)的简单网页。这些页面可以用来收集用户的登录尝试,但不要实际存储任何敏感信息。
  • 使用HTML和CSS复制学校官方登录页面的外观
  • 添加虚假的登录表单,但不要实际处理或存储输入的凭据
  • 设置服务器日志以记录访问次数和IP地址(注意遵守隐私政策)
  • 在页面底部添加小字提示”这是一个安全意识测试”

使用开源工具:

  • 有一些开源的网络钓鱼测试工具,如Gophish或Social-Engineer Toolkit (SET),可以帮助您进行基本的钓鱼模拟。
  • 安装Gophish在本地服务器上:
    a) 创建钓鱼活动
    b) 导入目标用户列表(教职工和学生)
    c) 设计邮件模板和登陆页面
    d) 调度发送时间和监控结果
  • 使用Social-Engineer Toolkit (SET)进行更高级的测试:
    a) 创建自定义攻击向量
    b) 生成恶意文件(仅用于测试,不含实际恶意代码)

追踪链接:

  • 在邮件中使用可追踪的短链接,以监测有多少人点击了可疑链接。
  • 使用类似服务创建短链接
  • 在不同类型的通信中使用不同的短链接(邮件、短信、社交媒体等)
  • 分析点击率、地理位置和设备类型等数据

报告机制:

  • 设置一个简单的系统,让用户可以轻松报告可疑的邮件或链接。这不仅可以测试用户的警惕性,还能培养他们主动报告的习惯。
  • 创建一个简单的web表单或专用邮箱用于报告可疑活动
  • 设计一个奖励系统,鼓励积极报告
  • 开发一个仪表板,实时显示报告数量和类型

培训后测试:

  • 在进行基本的网络安全培训后,立即进行钓鱼测试,以评估培训的效果。
  • 设计一个简短的在线培训课程(15-20分钟)
  • 在培训后立即发送钓鱼测试邮件
  • 比较培训前后的测试结果,评估培训效果

分阶段测试:

考虑将测试分为不同的难度级别,从简单明显的钓鱼尝试开始,逐步增加复杂性。

第一阶段(简单):

  • 明显的拼写错误
  • 不匹配的URL
  • 紧急要求立即行动

第二阶段(中等):

  • 模仿真实服务的精细钓鱼页面
  • 利用当前事件或学校新闻作为诱饵

第三阶段(高级):

  • 定向攻击(针对特定部门或个人)
  • 多步骤钓鱼(例如先发送准备性邮件,再发送钓鱼链接)

实施建议:

  1. 成立一个跨部门团队,包括IT、人力资源和法律部门的代表。
  2. 制定明确的测试目标和成功指标。
  3. 创建一个详细的测试时间表,避开敏感时期(如考试周)。
  4. 准备全面的通信计划,包括如何向参与者解释测试结果。
  5. 设置一个安全的环境来存储和分析测试数据。
  6. 制定应对计划,以防测试引起意外反应或问题。

请记住,整个过程的目的是教育和提高安全意识,而不是惩罚。确保所有的测试活动都符合道德标准,并获得学校管理层的明确批准。

最后要说的是,传统上编写软件程序比较累人,耗费人力资源较多,现在有了人工智能的加持,稍稍有些软件背景知识的人员,都可以轻松编程、开发网站或使用开源系统进行改进,这样可以快速自主轻松地完成很多此前很麻烦的工作。相比于商业产品和服务来讲,可控性、可调性和保密性都要强很多。因为很多商业级的产品功能其实都没有必要,甚至大多数根本用不上,此外,很多应用都使用的是托管类的云端服务,保密性并不十分值得信赖。

昆明亭长朗然科技有限公司专注于帮助各类型的组织机构提升员工们的信息安全意识,我们有创作大量的安全意识教程资源,如动画视频和电子课件,也开发了很多快捷的安全意识培训、考试平台、互动系统和钓鱼测试软件等等,欢迎有兴趣的朋友联系我们,预览我们的作品和体验我们的软件。

昆明亭长朗然科技有限公司