釣魚郵件演練：授人以魚 亦授人以漁

文/本刊記者 高明

當前，高校釣魚郵件事件頻發，并且呈現出針對性強、威脅程度高、影響面廣的特點，持續威脅著師生財產安全與學校網絡安全。

為全面提升師生員工對于釣魚郵件的防范意識，2021年許多高校紛紛開展了釣魚郵件演練，并取得了不錯的教育和警示效果，也在廣大師生員工中掀起了一輪識別和防范釣魚郵件的科普熱潮。

一次演練，多重收獲

2021年5月18日，北大師生的電子郵箱里，一封來自“北京大學后勤管理處”的郵件不期而至，以“新冠疫苗注射統計”為主題的釣魚郵件攻防演練拉開帷幕。

雖然演練虛構了一個根本不存在的部門，但還是有很多師生中招，也有很多師生嘗試與其認為可能相關的部門進行聯系和咨詢。據統計，在北京大學5月的釣魚郵件演練中，共有4萬余名師生收到這封模擬釣魚郵件。其中，54%的師生閱讀了該郵件，約5000名師生點擊了可疑鏈接，約2000名師生在后續登錄頁面輸入了用戶名和密碼。

與此同時，也有很多師生表現出了極高的警惕性，并積極地在BBS、群聊和朋友圈里提醒大家進行防范，還幫不明就里的老師和同學指出如何去識別釣魚郵件，讓很多人對釣魚郵件都有了警惕意識。

通過模擬釣魚郵件攻擊的方式，以及高仿真、沉浸式的真實場景，這場釣魚郵件演練讓廣大師生切實體會到釣魚郵件的迷惑性和隱蔽性，取得了良好的警示效果，師生的安全防范能力也得到了顯著提升，部分學院甚至還請求專門組織一次針對本學院的攻防演練。

不僅如此，學校相關部門的應急處置能力也在演練中得到了鍛煉。為了使釣魚演練更接近真實，許多部門并未得到事前通知。在這種情況下，相關部門不僅迅速采取行動，也快速啟動了應急機制，表現出職能部門和院系高度的敏感性和專業的應急響應能力。

從宣傳效果來看，釣魚郵件演練也在校內外掀起一輪識別釣魚郵件的熱潮，讓更多的師生以更積極主動的方式參與到網絡安全教育中，成為了一次成功的網絡安全宣教科普活動。

北京大學2021年5月的釣魚郵件演練中，共有4萬余名師生收到這封模擬釣魚郵件。其中，54%的師生閱讀了該郵件，約5000名師生點擊了可疑鏈接，約2000名師生在后續登錄頁面輸入了用戶名和密碼。

演練應做準備

在廈門大學信息與網絡中心副主任鄭海山看來，開展釣魚演練需要在管理和技術兩個層面做好準備。其中，管理層面的準備工作尤為重要。

管理層面，進行演練前應當報告主管部門批準，并協調其他部門進行配合。以清華大學為例，在2021年12月開展的釣魚郵件演練中，由信息化技術中心黨委書記和信息辦主任共同擔任演練總指揮；信息辦負責整體協調；中心負責制定技術方案、監督實施、數據分析；財務處、團委負責擬定釣魚郵件文本；公司負責提供演練平臺、實施演練。

由于用戶網絡安全意識水平不一，在開展反釣魚演練前，最好對師生員工進行釣魚郵件相關培訓，以免造成草木皆兵，影響正常工作發送通知郵件的便利性。

若要以某部門名義發送，則應當通知該部門，并協助該部門做好用戶電話咨詢等應對措施，以免對其工作造成干擾。此外，也應當告知相關的安全部門，避免對一些安全設備的告警或者態勢感知設備的分析造成污染。

技術層面，需要確認郵件服務器自身的安全性，盡量使用市面上占有率高的安全的郵件服務器軟件，郵件服務器應當做好加固，使用郵件安全網關對垃圾郵件和釣魚郵件進行過濾，對用戶普及校內郵件地址后級，防止子域名沒有設置 SPF 被惡意利用。同時，在演練中要防止演練導致敏感信息被提交，對用戶提交的密碼不記錄也不驗證。

可以結合學校實際，選擇是自行開展或者采購外包服務。外包服務通常較為專業和全面，但是也存在著如無法覆蓋全部工作量、數據安全性、常態化反釣魚演練成本較高等問題。

未來工作方向

現在，開展釣魚郵件演練已經引起越來越多高校的重視，并被納入到學校網絡安全工作計劃中。雖然開展釣魚演練收效顯著，但仍有許多工作需要進一步細化，如對演練人群進行細分、根據演練對象設計定制化內容和仿真程度、針對中招人員實行特定培訓等，越是進行細分和定制，師生員工的中招率就越高，教育效果也就越好。

鄭海山表示，未來釣魚郵件演練應當往更深、更廣的常態化方向發展，一旦普通難度的釣魚郵件演練達到預期效果，就可以提高釣魚郵件演練的難度。

深度方面，通過梳理校內所有發送郵件通知的業務系統，如監控系統、圖書館催還書、統一通訊中心發送的通知，以及各類教務、學工、科研系統的郵件模板，并有針對性地基于這些模板，對特定用戶發起異常精準的釣魚郵件攻擊。

廣度方面，做到泛通知，對郵件、短信、工作群（QQ、微信、企業微信、釘釘、飛書等）、網站內建消息通知渠道、上網客戶端通知等均納入釣魚演練的范圍?？梢阅M管理員被黑、網站被黑等發出釣魚郵件，比如OA系統，讓用戶在登錄后就收到假的Flash更新，并統計選擇更新的人數。

最后，通過推動群測群防工作持續深化，發動師生員工一起參與監測與預防，并形成在收到釣魚郵件后向學校特定部門報告的安全意識，以更好實現釣魚郵件演練“授人以漁”的教育內涵。