大咖徵稿|清華大學新生釣魚演練分析報告

無論是大型的攻防演練還是頻發的安全事件,釣魚郵件已經成爲紅隊和黑客團伙最常用的攻擊手段。據統計,約92%的數據泄露事件與魚叉式網絡釣魚郵件攻擊有關。攻擊者通過僞造電子郵件釣魚,誘導受害者點擊惡意鏈接或者執行惡意程序,以進一步獲取目標受害者的信息並加以利用,最終導致賬號信息被盜、個人終端被控以及整個內網淪陷、業務數據和敏感信息陷入巨大風險之中。

爲了不斷提升高校新生的網絡安全意識,除了常規的安全意識培訓、文字/視頻宣傳等方式進行宣導和教育外,通過組織釣魚演練以實戰化方式進行安全意識培養,已逐漸成爲高校安全建設中不可或缺的重要一環。

在教育部牽頭通知要求各高校開展釣魚演練活動的背景下,清華大學爲提高新生防範釣魚郵件的安全意識、降低安全風險,通過釣魚平臺模擬真實攻擊者手法開展釣魚演練。

本次釣魚演練目標爲清華大學全體新生。釣魚演練實施前對新生辦公/生活規律進行了充分的調研,在不影響任何線上生產系統安全性、不影響正常生產秩序、不影響新生正常工作、不引發負面輿情的前提下,根據新生特點定製具有高欺騙性、誘惑性的釣魚模板,模擬真實APT攻擊思路,開展釣魚演練。釣魚演練結束後,從郵件發送時間、命中率、行爲統計等多個維度分析新生演練結果,使新生行爲趨勢一目瞭然。並針對演練結果給出提升建議,以及郵件安全現狀提出郵件系統安全建議。

1、總體分析:本次釣魚演練演習目標選取清華大學新生共計1.3萬,自9月10日22時開始發送釣魚演練郵件,歷時10分鐘完成郵件發送。截至9月13日23時,共有超過3200名新生查看了郵件,佔比約24%,超過2500名新生點擊了郵件中鏈接,佔比約19%,約1400名新生輸入了用戶憑據,佔比約10%。

本科新生共3700+人,查看郵件佔比27%,其中點擊釣魚鏈接的用戶佔比26%;輸入密碼的用戶佔比超過15%。

研究生新生共9000+人,查看郵件佔比23%,點擊了釣魚鏈接用戶佔比16%;輸入密碼的用戶佔比8%。

通過以上對比可見,對於該釣魚郵件,未點擊查看的用戶佔比超過70%,表現出整體新生用戶信息化素養和網絡安全風險意識較高,其中,研究生信息化素養明顯高於本科新生。演練過程中,還有很多用戶及時通過電話和郵件方式聯繫信息化技術中心,諮詢和了解相關情況,也有新生用戶通過朋友圈等及時發佈預警通知,提醒同學不要誤點。

2、時間分析:根據追蹤數據顯示,用戶在7:00-9:00最爲活躍,詳細數據見下圖:

如上所示,郵件作爲工作和學習的輔助溝通手段,通常用戶會在工作時間進行查看和處理,尤其在早上的時段,較爲明顯。

3、行爲分析:根據演練數據,詳細分析見下圖:

如上,通常查看並迅速點擊釣魚鏈接並輸入密碼的用戶具有較強的相關性,這部分用戶的安全風險意識不高,應重點關注。

4、終端分析:詳情分析見下圖:

如上,辦公電腦仍是用戶閱讀並處理郵件的主要工具,其中windows+mac電腦達到72%。

安全風險總結:從統計數據得出,部分新生安全防範意識比較薄弱。但經過持續有計劃的模擬釣魚郵件演練和安全意識培訓應可以使這部分人員安全意識顯著提升,信息泄露風險大幅降低。更一步可以看出,研究生羣體整體安全風險意識較高,明顯高於本科新生,說明通過之前2年的幾輪釣魚郵件演練以及日常的信息安全宣講等培訓工作,使得這部分人員的安全素養明顯提高,也說明網絡安全工作還需要持續不斷努力。