如何策划企业网络钓鱼邮件演练?
根据在甲方工作的信息安全工程师，我们相信在甲方工作的信息安全工程师都知道，定期对公司员工进行安全意识培训是我们的工作内容之一，目的也非常明确。通过安全意识培训，可以改变员工的不安全行为，降低人员风险。根据对网络安全问题根源的数据分析，75%的安全事件是由人引起的，其中很大一部分是由意识淡薄、密码淡薄和网络钓鱼引起的;只有25%与技术相关，包括系统漏洞、配置缺陷和业务逻辑缺陷。
为了更好地了解企业安全意识的成熟度，网络钓鱼邮件测试是最好的评估方法，也是验证安全意识培训效果的最有效方法之一。特别是对于刚刚进入公司的信息安全工程师来说，进行一次网络钓鱼可以快速了解公司人员的安全意识处于什么阶段，从而有针对性地进行安全意识培训。如果你不尝试，你就不知道。
钓鱼怎么样
1. 网络钓鱼的现状
在当今的互联网环境中，网络钓鱼是个人和组织面临的一大安全威胁。对员工来说，在不同规模的组织中“钓鱼”是一个很大的风险，因为对手会用恶意的电子邮件和网站攻击用户。
据宗宗信信邮政和360行业安全研究中心联合监测评估，2019年，中国企业邮件用户共收到344.3亿封钓鱼邮件。全世界每天大约有3000亿封电子邮件被发送，其中90%是垃圾邮件和病毒邮件
超过90%的黑客攻击和数据泄漏是由钓鱼欺诈引起的，商业电子邮件欺诈(BEC)的报告金额超过125亿美元，但实际犯罪的报告总数只有10%到12%。
2. 钓鱼攻击的常见类型
首席执行官欺诈或商业邮件欺诈(BEC)——假装是公司的首席执行官或其他主管，向级别较低的员工(通常是会计或财务部门的员工)发送电子邮件，以获取商业机密信息，或让受害者将资金转入虚假账户。
克隆钓鱼:利用受害者收到的合法信息，模拟创建恶意脚本，然后再次发送原始邮件，诱使用户点击克隆的钓鱼邮件，原因是之前的邮件链接有问题。
伪造一个新的邮件头，看起来像一个合法公司的电子邮件地址。或者创建一个看似合法或类似于合法公司域名的欺诈网站。
鱼叉式网络钓鱼——使用社会工程策略，为组织内特定的个人定制个性化的电子邮件。攻击者可以利用电子邮件主题作为受害者感兴趣的主题，诱骗他们打开电子邮件，点击链接或附件。
水坑——攻击杨红公司经常访问的一个网站，感染其中一个网站并植入恶意软件。当你或你的员工访问网站时，电脑会自动加载恶意软件，这样攻击者就可以访问你的网络、服务器和敏感信息。
捕鲸攻击——鱼叉捕鱼的一种形式，而不是CEO欺诈。攻击者的目的是诱导高管输入敏感信息和公司数据，如CEO、CFO等。
3.常见的钓鱼攻击主题
金融的话题
它通知主题
司法欺诈
商业电子欺诈
4. 网络钓鱼的危险
网络钓鱼攻击者利用欺骗性电子邮件和伪造的网站进行网络钓鱼活动，受害者往往披露自己的个人资料。行骗者通常将自己伪装成可信赖的品牌，如网上银行、网上购物中心和快递，以骗取用户的私人信息。
网络钓鱼是互联网上身份盗窃的一种形式。它利用欺骗性的电子邮件和欺骗性的网站来引诱人们披露公司内部系统账号和密码、公司账号和密码、影响公司估值的CEO / CFO的个人信息、电子邮件账号、密码等。盗取用户资金，敲诈公司，使公司遭受经济损失，上市公司仍然影响股票价格。
钓鱼操练的目的
合规驱动:
《网络安全法》第34条第2款规定，应当定期对从业人员进行网络安全教育、技术培训和技能考核。
“平等安全"腾讯企业邮箱、qq企业邮箱与微信完美结合的企业QQ邮箱，腾讯QQ企业邮箱上安全、稳定、高效、便捷，企业qq邮箱每账号每年100元起，企业邮箱用户越多越优惠,腾讯企业邮箱首页:www.tjwlt.com.如有疑问，请致电400-889-0304。