大咖征稿|清华大学新生钓鱼演练分析报告

无论是大型的攻防演练还是频发的安全事件,钓鱼邮件已经成为红队和黑客团伙最常用的攻击手段。据统计,约92%的数据泄露事件与鱼叉式网络钓鱼邮件攻击有关。攻击者通过伪造电子邮件钓鱼,诱导受害者点击恶意链接或者执行恶意程序,以进一步获取目标受害者的信息并加以利用,最终导致账号信息被盗、个人终端被控以及整个内网沦陷、业务数据和敏感信息陷入巨大风险之中。

为了不断提升高校新生的网络安全意识,除了常规的安全意识培训、文字/视频宣传等方式进行宣导和教育外,通过组织钓鱼演练以实战化方式进行安全意识培养,已逐渐成为高校安全建设中不可或缺的重要一环。

在教育部牵头通知要求各高校开展钓鱼演练活动的背景下,清华大学为提高新生防范钓鱼邮件的安全意识、降低安全风险,通过钓鱼平台模拟真实攻击者手法开展钓鱼演练。

本次钓鱼演练目标为清华大学全体新生。钓鱼演练实施前对新生办公/生活规律进行了充分的调研,在不影响任何线上生产系统安全性、不影响正常生产秩序、不影响新生正常工作、不引发负面舆情的前提下,根据新生特点定制具有高欺骗性、诱惑性的钓鱼模板,模拟真实APT攻击思路,开展钓鱼演练。钓鱼演练结束后,从邮件发送时间、命中率、行为统计等多个维度分析新生演练结果,使新生行为趋势一目了然。并针对演练结果给出提升建议,以及邮件安全现状提出邮件系统安全建议。

1、总体分析:本次钓鱼演练演习目标选取清华大学新生共计1.3万,自9月10日22时开始发送钓鱼演练邮件,历时10分钟完成邮件发送。截至9月13日23时,共有超过3200名新生查看了邮件,占比约24%,超过2500名新生点击了邮件中链接,占比约19%,约1400名新生输入了用户凭据,占比约10%。

本科新生共3700+人,查看邮件占比27%,其中点击钓鱼链接的用户占比26%;输入密码的用户占比超过15%。

研究生新生共9000+人,查看邮件占比23%,点击了钓鱼链接用户占比16%;输入密码的用户占比8%。

通过以上对比可见,对于该钓鱼邮件,未点击查看的用户占比超过70%,表现出整体新生用户信息化素养和网络安全风险意识较高,其中,研究生信息化素养明显高于本科新生。演练过程中,还有很多用户及时通过电话和邮件方式联系信息化技术中心,咨询和了解相关情况,也有新生用户通过朋友圈等及时发布预警通知,提醒同学不要误点。

2、时间分析:根据追踪数据显示,用户在7:00-9:00最为活跃,详细数据见下图:

如上所示,邮件作为工作和学习的辅助沟通手段,通常用户会在工作时间进行查看和处理,尤其在早上的时段,较为明显。

3、行为分析:根据演练数据,详细分析见下图:

如上,通常查看并迅速点击钓鱼链接并输入密码的用户具有较强的相关性,这部分用户的安全风险意识不高,应重点关注。

4、终端分析:详情分析见下图:

如上,办公电脑仍是用户阅读并处理邮件的主要工具,其中windows+mac电脑达到72%。

安全风险总结:从统计数据得出,部分新生安全防范意识比较薄弱。但经过持续有计划的模拟钓鱼邮件演练和安全意识培训应可以使这部分人员安全意识显著提升,信息泄露风险大幅降低。更一步可以看出,研究生群体整体安全风险意识较高,明显高于本科新生,说明通过之前2年的几轮钓鱼邮件演练以及日常的信息安全宣讲等培训工作,使得这部分人员的安全素养明显提高,也说明网络安全工作还需要持续不断努力。