上一期我们介绍了针对邮局应用层和协议层面的安全检测，目前针对邮局系统自身风险的服务内容已经向大家介绍完了。然而保障了邮局自身的系统安全还是远远不够的，每一篇邮件的内容导致的人员主观或者被动操作都会直接产生安全问题，例如钓鱼邮件，其利用伪装的电邮，欺骗收件人将账号、口令等信息回复给指定的接收者；或引导收件人连接到特制的网页，这些网页通常会伪装成和真实网站一样，如银行或理财的网页，令登录者信以为真，输入信用卡或银行卡号码、账户名称及密码等而被盗取。

频发的APT攻击事件告诉我们，员工都是企业安全最薄弱的环节。在发起攻击时，黑客往往采用社会工程学手段对目标组织的员工下手，而这些手段中首当其冲的就是邮件钓鱼。据统计，约92%的数据泄露事件与社会工程学事件和鱼叉式网络钓鱼攻击有关。网络钓鱼攻击通常是电子邮件钓鱼，然后骗取受害者点击恶意链接，最后使用恶意的漏洞Payload攻击受害者计算机。换句话说，如果一个员工误点击恶意链接，黑客可能被盗取账户信息，或者电脑被人种上木马，导致企业内网因此沦陷，业务数据和敏感信息也会陷入巨大风险之中。

钓鱼邮件测试方式

我们的测试工作从钓鱼邮件构造、邮件钓鱼和安全意识教育等方面展开。钓鱼邮件的模板中将设置若干相对明显的伪造信息点，识别难度处于中等水平，测试着力于提高员工安全意识。

针对向内外网邮局发送钓鱼邮件的需要，测试将在互联网环境下搭建邮件服务器，通过该邮件服务器向测试邮局列表中的内网 Notes 邮局地址和互联网邮局地址发送钓鱼邮件。

针对向受害员工进行安全警示教育的需要，测试将分别在互联网环境和内网环境下搭建两台钓鱼 Web 服务器。两台服务器目录下均包括安全警示教育页面文件、用户访问记录文件、用户访问量统计文件等。

当用户点击邮件中的 URL 链接并输入用户名密码等信息进行登陆操作、或者扫描支付二维码并输入金额进行支付操作、或者下载并打开包含宏指令的文件时，将自动转向安全警示教育页面。

测试过程

图：钓鱼邮件测试方法图示

测试通过发送钓鱼邮件给用户，诱导用户点击邮件中的URL 链接、或者扫描二维码、或者下载文件，连接到钓鱼 Web 服务器。钓鱼 Web 服务器上部署Web 站点，并记录用户访问时的信息。

在具体的测试中有下面四个步骤：

1、通过搭建邮件服务器，向内网 Notes 邮局及互联网邮局的个人用户群发钓鱼邮件。

2、用户点击 URL 链接、或者扫描二维码、或者下载文件，将弹出参与测试的告知信息，并记录受害者人数等相关信息。

3、受害员工链接自动重定向至社会工程警示教育页面，进行约 5 分钟的安全意识培训。

4、进行测试数据统计分析。

测试判断标准

1、是否已访问邮件中钓鱼网站的 URL 并输入用户名、密码等信息进行登陆操作；是否扫描了伪造的支付二维码并输入金额进行支付操作；是否下载并打开了钓鱼邮件中包含宏指令的 Word、Excel 等附件。

2、根据设计的钓鱼网站（安全意识教育页面）的访问量，来判断相关钓鱼实际触发的数量级。

钓鱼邮件模板

本次测试的钓鱼模板包括钓鱼邮件模板设计和安全警示教育页面模板设计，针对钓鱼邮件的测试场景需要，可设计以下几种钓鱼邮件模板：

1、URL 链接钓鱼邮件模板：

该模板将仿冒促销活动的推送邮件，邮件模板包含以下内容：

1）介绍活动情况；

2）设置可跳转 URL 或者文字超链接，点击链接登录了解活动详情；

注：该钓鱼邮件的链接页面将仿冒登录页面，通过后台程序判断用户是否输入用户名密码并点击登录按钮的方式判定用户是否被钓鱼成功。钓鱼过程中不收集用户的用户名、密码等信息。

2、二维码扫描钓鱼邮件模板：

该模板将仿冒 1 元观影活动的推送邮件，邮件模板包含以下内容：

1）介绍活动情况；

2）邮件中填充可供扫描的支付二维码，微信扫描二维码完成支付；

注：该钓鱼邮件的二维码链接页面将仿冒微信转账的支付页面，通过后台程序判断用户是否输入转账金额并点击确认支付按钮的方式判定用户是否被钓鱼成功。钓鱼过程中不进行收付款行为，不收集用户微信号等个人信息。

3、文件下载钓鱼邮件模板：

该模板将仿冒满意度调查的通知邮件，邮件模板包含以下内容：

1）通知开展满意度调查；

2）邮件附件为调查问卷的Word 或 Excel 文档，下载附件后查看调查问卷内容和具体操作步骤；

注：该钓鱼邮件的附件中将添加自动打开钓鱼链接的宏指令。通过判断用户是否下载并打开包含宏指令的文件的方式判定用户是否被钓鱼成功。附件中的宏指令仅包含自动打开钓鱼链接的功能，不包含宏病毒。

测试同时需要设计安全意识教育页面模板，以对受害员工进行安全意识教育。安全意识教育将通过大量的典型安全事件导入，从感性认知层面对目前的信息安全威胁、社会工程学攻击形式给予直观、形象的描述，使员工能对当前信息安全威胁有一个深刻的认识；同时通过案例介绍的方式，对目前流行的社会工程学攻击手段进行分析，并阐明具体的防范措施。

Tips

风险控制：

a、钓鱼邮件不含任何病毒、蠕虫、后门等恶意程序代码，不执行任何对系统有影响的操作。

b、钓鱼邮件不收集账号、密码等个人信息。