模拟实战，共筑企业信息安全防线：钓鱼邮件攻防演练的探索与实践｜大湾区金融安全专刊·安全村

银行作为金融服务业的核心组成部分，每天都会处理和存储大量的交易数据、客户信息、信用评级、风险管理数据等各类信息。随着数字化转型的推进和金融服务的多样化发展，银行所面对的数据量呈现出爆炸性的增长。其中，个人信息的隐私和安全问题成为重中之重，由于互联网的存在，黑客更容易获取个人隐私信息，而网络犯罪分子则更易于实施身份盗窃、欺诈以及其他类型的网络犯罪。

钓鱼邮件作为一种常见的网络欺诈手段，正是利用了互联网通信的匿名性和广泛传播性，通过模仿合法机构或个人发送带有恶意链接或附件的邮件，诱导受害者泄露其个人信息，进而达到非法牟利的目的。近年来通过钓鱼攻击植入勒索病毒已成为主流网络攻击手段，据媒体报道，近期某银行在美全资子公司遭到勒索软件团伙钓鱼攻击，导致部分系统服务中断，影响其在美国国债市场交易，公司为恢复业务支付了巨额赎金，该事件对其造成了巨大的经济与声誉损失。

随着钓鱼邮件攻击手段的日益复杂化和智能化，不断提升钓鱼邮件防范能力具有极其重要的现实意义。我行组织开展了钓鱼邮件攻防演练，模拟外部网络钓鱼攻击行为，向全行员工发送模拟钓鱼邮件，以加深员工对安全威胁的体验，认识到网络安全与每个人都息息相关，增强员工识别钓鱼邮件的能力。本文将对此次钓鱼邮件攻防演练进行介绍，并进一步探讨未来在防范钓鱼邮件攻击可采取的对策。

1.攻击目标

钓鱼邮件攻击是一种网络攻击活动，黑客通过伪装成同事、合作伙伴、朋友、家人等用户信任的人，发送电子邮件给用户，诱使用户回复邮件、点击嵌入邮件正文的恶意链接或者打开邮件附件以植入木马或间谍程序，进而窃取用户敏感数据、个人银行账户和密码等信息，或者在设备上执行恶意代码实施进一步的网络攻击活动。其目标在于欺骗接收者采取有利于攻击者的特定行动，如提供登录凭据或安装恶意软件。此类攻击可能导致严重的后果，包括但不限于财务损失、身份盗用以及网络系统的全面沦陷。

2.钓鱼邮件特征

（1）发件人地址。钓鱼邮件常常使用伪造的发件人地址，使其看起来像是合法机构或个人发送的邮件。

（2）邮件主题。钓鱼邮件的主题往往具有诱惑性或紧迫性，以引起接收者的兴趣或恐惧。这些主题可能涉及到账户问题、奖励通知、紧急事件等，使接收者想要尽快打开邮件并采取行动。

（3）邮件内容。钓鱼邮件常常使用威胁或恐吓的语言，试图迫使接收者提供个人信息。这些邮件可能声称接收者的账户已被盗用、即将被关闭，或者需要更新敏感信息，否则将面临财务损失或法律后果。

（4）链接或附件。钓鱼邮件通常包含恶意链接或附件，这些链接或附件可能会导致恶意软件的下载或个人信息的泄露。这些链接或附件可能假装是合法的网站登录页、文件下载或重要文档，以诱使接收者点击或下载。

本次钓鱼邮件攻防演练使用我行自行搭建的钓鱼演练平台，全程自主可控。为保障员工个人信息安全，本次演练不收集钓鱼邮件演练对象提交的具体数据。演练方案流程如图所示：

1.模拟钓鱼平台

使用一款为企业和渗透测试人员设计的开源网络钓鱼工具包用于模拟钓鱼平台，该工具可快速、轻松地设置和执行网络钓鱼活动或开展安全意识培训。进行钓鱼邮件演练时，联动邮件服务器可以实现批量发送钓鱼邮件。可针对“是否查看邮件”、“是否点击链接”、“是否输入数据”三种情形进行数据统计，并且图形化展示统计结果。

2.邮件服务器

使用一款基于Linux的开源邮件服务器软件搭建邮件服务器，用于模拟发送“官方”邮件；并使用与我行名称拼音简写相似的域名（如：[email protected]），使得模拟发送的邮件更具有迷惑性。

3.邮件内容

本次钓鱼攻击模拟演练，我行向员工投递了“银行卡冻结激活”标题的模拟钓鱼邮件，钓鱼邮件测试样例内容如下：

“尊敬的客户您好，很抱歉地通知您，因您的银行卡可能涉及刷单、非法贷款等情况，我们暂时冻结了您的账户。为了保障您的账户安全，重新激活您的账户。请点击此处激活账号，并按照界面提示进行操作，完成账户激活。账户激活后，您将可以正常使用我们的服务。如果您有任何疑问，请及时联系我们的客服人员，谢谢！

祝您生活愉快！”

“此处”部分包含链接，用户点击“此处”链接后进入模拟钓鱼页面，在钓鱼页面中包含一个信息填写框，激活冻结账号需提供银行卡账号、6位支付密码、持卡人姓名、身份证号码及手机号。

4.演练警示

若员工未意识到所收到的邮件为钓鱼邮件，点击链接后填写了相关信息，将会收到一个弹窗提示：

“下载国家反诈中心APP,可以帮助你激活APP诈骗预警。

不要将资产转入所谓的‘安全账户’。

1.网络刷单诈骗：凡是打着‘网络兼职’旗号，以返佣金为诱饵，要求你以刷单形式做任务的。

2.网络贷款诈骗：凡是打着‘零门槛’、‘无抵押’、‘当天放款’等旗号，以预付手续费、预交保证金、增加银行流水记录等为由，要求先行转账汇款或者索要银行卡密码、手机验证码的。

3.冒充公检法诈骗：凡是自称是检法机关或通管局、医保局，以涉嫌严重违法犯罪并需要保密等为由，索要银行卡信息及密码、验证码进行‘资金清算’或者让你直接把钱打到所谓的‘安全账户’的。

4.冒充老师向家长索要‘培训费’诈骗：凡是自称老师通过QQ或微信以培训、名额竞争为名让家长转账缴费的。

5.冒充领导要求下属向其汇款诈骗：凡是自称是某某领导并以工作为由，要求你以支付宝、微信、银行卡等方式向其汇款的。

6.红包返利诈骗：凡是声称发红包就返利的。”

通过该弹窗提示告知员工本次邮件是一次演练，应提防各类网络诈骗。

经复盘，本次“防范电信诈骗（银行卡异常冻结场景）”场景钓鱼邮件演练，绝大多员工没有点击异常链接或填写信息，反映出我行员工整体网络安全意识水平较高，也反映出少部分员工识别钓鱼邮件的能力有待进一步提升。

不法分子常常利用新闻热点作为钓鱼邮件的内容，诱使邮件接收人点击恶意链接、提供个人敏感信息（如：身份证号、密码、验证码等）。除了邮件服务商要提升钓鱼邮件的识别与拦截能力外，还应加强人的自我安全防范能力——如针对不同场景不同人群进行多样化演练，模拟各类攻击场景进行反钓鱼训练，更新各类新型钓鱼邮件案例，增加员工对网络“骗术”的了解，提升钓鱼邮件的识别能力和网络安全防范意识。

大湾区专刊现已发布第1辑和第2辑，集合了全国数十家金融和科技机构的网络安全工作经验总结，更邀请了大湾区港澳金融机构的安全专家分享独到见解。文章内容涉及防御体系、安全运营、数据安全、研发安全、业务安全、资产管理、攻防演练、前沿分析等主题方向，希望能为从业者提供网络安全防护方面的整体思路，向行业传播可持续金融创新和实践经验，为推动可持续金融生态发展汇聚智慧与力量。

安全村始终致力于为安全人服务，通过博客、文集、专刊、沙龙等形态，交流最新的技术和资讯，增强互动与合作，与行业人员共同建设协同生态。