打开微信扫一扫
中国农大新闻网讯 近日,为贯彻落实《2024年教育系统网络安全能力提升行动方案》工作要求,预防钓鱼邮件所导致的网络安全事件发生,信息化办公室组织开展钓鱼邮件专项演练活动,进一步提高我校师生网络安全意识和防范能力。
电子邮件是师生日常办公和学习使用最广泛的正式沟通方式之一。从教育行业网络安全趋势来看,电子邮箱面临的主要安全威胁是来自基于社会工程学的钓鱼邮件攻击。钓鱼邮件是指黑客伪装成同学、老师、朋友、家人等用户信任的人或组织,通过发送电子邮件的方式,诱使用户回复邮件,点击嵌入邮件正文的恶意链接或者打开邮件附件以植入木马或间谍程序,进而窃取用户敏感数据、个人银行账户、邮箱账户和密码等信息,或者在设备上植入恶意代码实施进一步的网络攻击活动。
本次演练覆盖全校 24516 个目标邮箱,其中学生组邮箱19136 个、教师组邮箱5380 个。为求接近真实情况,演练模拟钓鱼邮件攻击方式,以教师端“领取青年人才补贴”和学生端“学生假期去向登记”为钓鱼邮件主题,分别使用二维码和钓鱼链接两种钓鱼漏洞展开演练。为提醒广大师生,演练前信息化团队通过“关于开展钓鱼邮件识别与防范演练的通知”提前告知师生加强防范。
演练期间,信息化团队总计发送邮件24516封,根据当前学校邮箱防护策略设置,此次演练的钓鱼邮件会被自动投递至垃圾邮件。在此背景下,师生打开邮件1948人,访问钓鱼网站252人,向钓鱼网站提交数据72人。其中,学生组打开邮件比例为 7.05%,访问钓鱼网站比例为1.24%,被钓鱼比例为 0.36%;教师组打开邮件比例为11.12%,访问钓鱼网站比例为 0.26% ,被钓鱼比例为0.07%。信息化团队对于未能正确识别出钓鱼邮件的师生进行了视频指导与纠正。此次钓鱼邮件演练中,部分师生也表现出了较高的警觉性,第一时间识别出邮件的异常,迅速向信息化团队反馈和举报,有效充分体现了我校师生良好的网络安全意识。
此次演练活动不会给邮件用户带来风险和信息泄露隐患,团队仅记录相关钓鱼邮件“中招”的用户信息,用以统计、分析,评估我校师生的安全意识水平,活动结束后模拟环境立即清除,不留痕迹。但真实的钓鱼邮件背后轻则被盗取账号权限,重则造成严重的经济损失。请全校师生提高警惕,保持良好的上网习惯,定期修改邮箱密码并确保密码强度足够,不随意点击陌生邮件内的链接,不随意下载和安装附件,认清邮件发送方的域名,警惕索要个人敏感信息的通知,筑牢安全意识,防范钓鱼邮件和网络诈骗。
学校信息化办公室将继续加强网络安全演练和宣传工作,逐步提高师生网络安全意识,共筑校园网络安全环境。
附 巧识钓鱼邮件“五不要”
1.不要放松对“熟人”邮件的警惕。 攻击者常常会利用攻陷的组织内成员邮箱发送钓鱼邮件,如果收到了来自信任的朋友或者同事的邮件,但邮件内容存疑、发信时间异常,请保持警惕,可通过其他方式向其核实确认。
2.不要轻信发件人地址中显示的“显示名”。 钓鱼邮件的发件人地址经常会进行伪造,比如伪装成本单位域名的邮箱账号或者系统管理员账号,要注意阅读发件邮箱全称。
3.不要轻易点开陌生邮件中的链接。 正文中如果有链接地址,切忌直接打开,大量的钓鱼邮件使用短链接(例如http://t.cn/zwu*71)或带链接的文字来迷惑用户。
4.不要轻信“泛化问候”及“催促通知”。 对使用“亲爱的用户”、“亲爱的同事”等一些泛化问候,或任何制造紧急气氛的措辞,如“重要提示,即将无法使用”“立即升级”“请务必下班之前完成”均需提高警惕,这是攻击者让用户慌忙中犯错的手段之一。
5.不要使用公共场所的网络设备执行敏感操作。 不要使用公共场所的电脑登入电子信箱、使用即时通信软件或进行其他涉及敏感资料的操作。