網絡釣魚電郵測試案例:本地IT公司
UDomain为你扫除最重大的安全漏洞——员工安全意识的不足!
看到老闆電郵地址寄出來的郵件便直接當成真的?別太天真了。今時今日網絡釣魚每天都有,如果遇著精心設計的騙局,你的同事們能察覺和應付嗎?來看看UDomain可以如何為你掃除最重大的安全漏洞吧!
客戶背景
行業
資訊科技
方案
客戶是一家香港本地的中型IT公司,大約有100名員工,除了一般的行政和銷售人員,更有聘用網絡工程師和程式設計員等資訊科技專業人才。客戶本身亦一直使用UDomain的伺服器寄存服務。
UDomain的工作
測試過程
公司每個月都設有一次下午茶聚,一般而言,會由一名行政人員向全體員工發電郵,電郵載有餐單,以及供提交食物選擇的Google表單(Google Form)連結,行政人員整理選項後再向餐廳下單。員工早就習已為常。
CEO文先生說:「雖然入職時已培訓,公司亦有制定網絡安全政策,IT部門亦做足了防火牆等措施,但我知道始終存有破綻。當看到UDomain全新的『網絡釣魚電郵測試』,很快就產生了興趣。我們隨即著手與UDomain測試員商討和設計整套測試方案,最終決定利用員工熟悉的下午茶作為誘餌。」
整個測試內容和日程只有少數管理層和員工知悉。UDomain測試員假冒行政人員發出電郵,電郵中顯示的Google表單的確是真實的連結(https://docs.google.com/forms/xxx),但點擊連結後卻會被帶去另一個非常相似的網址,其介面於一般使用的Google表單並沒有分別,跟以往一樣要求員工填寫姓名和飲食選項。
該網址使用的是UDomain測試員註冊的另一個全新域名,其明顯不是Google的網址。而網站沒有使用SSL安全證書,被Google Chrome瀏覽器清楚標記為「不安全(Not Secure)」,這是測試員和公司管理層協商後決定故意留下的提示。
測試結果
全公司100多人,竟有高達8成員工不虞有詐,當中甚至包括管理層,直接在表單提交答覆。CEO文先生說:「看到那麼多同事中招,真的非常驚訝。剩下2成人,估計都只是因為減肥而不回覆吧!」到最後,全公司只有一個不知情的行政部同事發現有問題,向上司匯報。結果顯示,實在不多人會細心留意這類網絡釣魚,尤其面對熟悉的工作流程時,員工很容易忽略細節(如網址欄),從而墮入騙局,造成損失。
CEO文先生說:「我們已經故意留下了提示,都幾乎沒有人察覺,連本應熟悉網絡運作的IT同事也同樣中招,本來還以為很快被人揭穿。我之前實在太高估自己同事應對這些騙局的能力了。」
UDomain測試員其後親臨客戶公司與全體員工分享測試成果,員工都目瞪口呆、哭笑不得,UDomain同時也為員工提供培訓,提醒如何辨認網絡釣魚,提高員工安全意識。
潛在後果
套取機密資料
當然這次只牽涉下午茶,但如果下次的釣魚電郵是要求員工重設帳戶密碼,或者是關於員工報稅等敏感事宜,又或者把員工帶到假冒銀行網站登入,便有可能被網絡罪犯套取其他真正重要的資料。
魚叉式網絡釣魚和CEO電郵
更高階的騙徒或駭客更會針對特定公司研究日常運作,例如財務部付費流程,甚至是研究高層電郵的語氣。多數騙徒都會看準老闆外遊出差的時機,便假冒老闆要求緊急轉帳,一不留神,便容易落入圈套。
勒索軟件
網絡釣魚也不一定只是套取資料,也很有可能引誘受害者下載惡意軟件,例如假冒求職者誘導人力部門下載假CV,但實質卻是惡意的執行檔。現時流行的惡意軟件可導致公司檔案被加密,繼而被勒索。
小結
員工很多時是安全策略中最薄弱的環節,沒有安全意識,足以毀掉IT部門為網絡安全所下的功夫,安裝再多再昂貴防火牆也只會是徒勞無功。UDomain的員工網絡釣魚測試可針對公司種類、不同部門、公司的特別流程等因素設計釣魚方案,提高員工網絡安全的意識,保障公司寶貴資產。
