网络钓鱼电邮测试案例:本地IT公司
UDomain為你掃除最重大的安全漏洞——員工安全意識的不足!
看到老板电邮地址寄出来的邮件便直接当成真的?别太天真了。今时今日网络钓鱼每天都有,如果遇着精心设计的骗局,你的同事们能察觉和应付吗?来看看UDomain可以如何为你扫除最重大的安全漏洞吧!
客户背景
行业
资讯科技
方案
客户是一家香港本地的中型IT公司,大约有100名员工,除了一般的行政和销售人员,更有聘用网络工程师和程式设计员等资讯科技专业人才。客户本身亦一直使用UDomain的伺服器寄存服务。
UDomain的工作
测试过程
公司每个月都设有一次下午茶聚,一般而言,会由一名行政人员向全体员工发电邮,电邮载有餐单,以及供提交食物选择的Google表单(Google Form)连结,行政人员整理选项后再向餐厅下单。员工早就习已为常。
CEO文先生说:「虽然入职时已培训,公司亦有制定网络安全政策,IT部门亦做足了防火墙等措施,但我知道始终存有破绽。当看到UDomain全新的『网络钓鱼电邮测试』 ,很快就产生了兴趣。我们随即着手与UDomain测试员商讨和设计整套测试方案,最终决定利用员工熟悉的下午茶作为诱饵。」
整个测试内容和日程只有少数管理层和员工知悉。 UDomain测试员假冒行政人员发出电邮,电邮中显示的Google表单的确是真实的连结(https://docs.google.com/forms/xxx),但点击连结后却会被带去另一个非常相似的网址,其介面于一般使用的Google表单并没有分别,跟以往一样要求员工填写姓名和饮食选项。
该网址使用的是UDomain测试员注册的另一个全新域名,其明显不是Google的网址。而网站没有使用SSL安全证书,被Google Chrome浏览器清楚标记为「不安全(Not Secure)」,这是测试员和公司管理层协商后决定故意留下的提示。
测试结果
全公司100多人,竟有高达8成员工不虞有诈,当中甚至包括管理层,直接在表单提交答覆。 CEO文先生说:「看到那么多同事中招,真的非常惊讶。剩下2成人,估计都只是因为减肥而不回覆吧!」到最后,全公司只有一个不知情的行政部同事发现有问题,向上司汇报。结果显示,实在不多人会细心留意这类网络钓鱼,尤其面对熟悉的工作流程时,员工很容易忽略细节(如网址栏),从而堕入骗局,造成损失。
CEO文先生说:「我们已经故意留下了提示,都几乎没有人察觉,连本应熟悉网络运作的IT同事也同样中招,本来还以为很快被人揭穿。我之前实在太高估自己同事应对这些骗局的能力了。」
UDomain测试员其后亲临客户公司与全体员工分享测试成果,员工都目瞪口呆、哭笑不得,UDomain同时也为员工提供培训,提醒如何辨认网络钓鱼,提高员工安全意识。
潜在后果
套取机密资料
当然这次只牵涉下午茶,但如果下次的钓鱼电邮是要求员工重设帐户密码,或者是关于员工报税等敏感事宜,又或者把员工带到假冒银行网站登入,便有可能被网络罪犯套取其他真正重要的资料。
鱼叉式网络钓鱼和CEO电邮
更高阶的骗徒或骇客更会针对特定公司研究日常运作,例如财务部付费流程,甚至是研究高层电邮的语气。多数骗徒都会看准老板外游出差的时机,便假冒老板要求紧急转帐,一不留神,便容易落入圈套。
勒索软件
网络钓鱼也不一定只是套取资料,也很有可能引诱受害者下载恶意软件,例如假冒求职者诱导人力部门下载假CV,但实质却是恶意的执行档。现时流行的恶意软件可导致公司档案被加密,继而被勒索。
小结
员工很多时是安全策略中最薄弱的环节,没有安全意识,足以毁掉IT部门为网络安全所下的功夫,安装再多再昂贵防火墙也只会是徒劳无功。 UDomain的员工网络钓鱼测试可针对公司种类、不同部门、公司的特别流程等因素设计钓鱼方案,提高员工网络安全的意识,保障公司宝贵资产。
