一、演練背景

如今的互聯網環境中，網絡釣魚攻擊是個人、企事業單位、高校所面臨的較大的安全威脅，職工被“釣魚”是不同規模組織的一大風險，釣魚攻擊者往往會偽裝成可信的來源，欺騙受害者點擊鏈接或下載文件，從而獲取敏感信息或執行惡意代碼。同時APT和黑產組織針對政府、企業、高校等單位的漏洞攻擊成本日益增高，與漏洞挖掘利用或各種偽裝及滲透相比，釣魚郵件因其成功率高、操作簡單成為了真實網絡環境中最常見的攻擊方式之一。

基于此，為提高師生對釣魚郵件的識別能力，提升師生網絡安全意識，防范化解釣魚郵件風險隱患，保障學校系統業務數據和師生個人信息安全，信息化管理處積極響應教育部定期開展釣魚演練的號召，于5月13日至5月20日開展了為期一周的釣魚安全演練。

二、演練總體情況

圍繞統一身份認證（https://sso.cup.edu.cn/login）系統，制定“統一身份認證平臺賬號異地登錄通知”郵件文案，發送到全校師生目標郵箱：

師生點擊釣魚鏈接后跳轉至偽造的釣魚網站，誘導師生輸入賬號密碼等敏感數據信息。

師生輸入賬號密碼后跳轉至警示頁面，加深演練中招師生印象，方便配合后續的安全意識教育。

本次釣魚演練投放樣本覆蓋全校教職工和學生，發送共計26424封釣魚郵件（教師：2516，學生：23908），截止到2024年5月20日，一共有707位師生中招，演練情況統計如下：

總覽視圖如下：

從演練總體情況來看，教師組的郵件閱讀人數及演練中招人數要少于學生組，其中部分師生存在多次點擊鏈接訪問水坑網站且多次提交賬號密碼的情況，攻擊者針對此類型職工稍加構造放置木馬即可誘導其下運行進而導致職工電腦被控制，PC終端一旦失陷將造成嚴重危害。同時如果師生的郵箱賬號失陷被攻擊者利用對內或對外投遞釣魚郵件，甚至會影響學校聲譽以及造成財產經濟損失。

三、與去年情況分析對比

2023年釣魚演練中共有711位師生中招，2024年共有707位師生中招，相比于2023年略有減少幅度，師生防釣魚意識有所提高。但從整體情況看，師生安全意識仍然較為薄弱，存在較大安全隱患，其中連續兩年中招人數共計有130人，占今年中招的總人數的18.39%。連續兩年都中招輸入賬號密碼的人數為56人，訪問釣魚鏈接的人數為74人。

四、如何防范釣魚郵件

?  增強郵箱賬號安全，做到涉密信息不上網

①開啟郵箱“異地登錄提醒”和“帳號鎖定提醒”功能，提高賬戶的安全性。

②引入雙因素認證或者零信任認證的機制，避免直接使用賬號密碼登錄，降低賬號密碼被盜的風險。經常使用客戶端的賬號，可開啟客戶端專用密碼。

③采用復雜且獨特的密碼：創建長度不少于8位，包含數字、字母、特殊符號的復雜密碼，并確保該密碼與您的其他任何互聯網賬號（如淘寶、微博等）的密碼不同。避免使用與個人信息（如身份證號、手機號）直接相關的數字作為密碼。

④注意密碼保護，切勿輕易將密碼告知他人，也不要在不受信任的網絡或設備上保存賬號密碼。建議定期更換密碼，并使用密碼管理工具來安全地存儲和生成密碼。

?  警惕釣魚勒索電子郵件

①驗證發件人身份：在打開郵件之前，務必核實發件人的地址和身份。對于不熟悉或可疑的發件人，要特別警惕。

②謹慎點擊鏈接和附件：不要點擊郵件中的未知鏈接，尤其是鏈接地址與郵件內容所描述的不符或網址異常的情況。對于郵件中的附件，特別是“.exe”和“.bat”等可執行文件，要格外小心，不要隨意下載和運行。

③不回復和不提供敏感信息：不要回復任何未經核實的郵件，也不要提供任何敏感信息，如銀行賬戶、密碼等。如果不慎在可疑郵件中輸入了真實信息，請立即修改相關賬號密碼，并檢查賬戶安全狀態。

④報告可疑郵件：如果收到疑似釣魚郵件或其他可疑信息，請及時向相關部門或郵箱管理員報告，可發送至webmaster@cup.edu.cn。

提醒：學校不會通過郵件方式要求師生提供任何涉及賬號密碼信息等敏感內容。請全體師生提高警惕，如有需要，請通過官方渠道進行核實。