2025年度第一次商業性質社交工程釣魚信演練結果分析報導
一、測試方式說明:
本測試作業乃針對公司指定之內部電子郵件帳號寄發引誘開啟之電子郵件。
郵件寄送期間:114/01/20-114/01/22
資料蒐集統計期間:114/01/20-114/01/23
測試總帳號數:660
測試郵件:3
- 【網路銀行數位存款帳戶】入帳通知(信件編號:12621-4848429)
- 【nomo購物】出貨通知
- 【福委會通知】114年度春節福利金發放
總演練郵件帳號寄送總數: [測試總帳號數] 乘以 [測試郵件] = 1980
二、測試總結如下:
三、高達61%的同仁開啟了釣魚信件:
本次測試過程中,偵測到開啟信件動作之不重複郵件帳號有409 個,佔總演練660個郵件帳號之比率為61.96%。雖然在近期的教育訓練影片有教導大家如何透過「關閉預覽視窗」,以及使用「純文字模式」檢視郵件內容(例如:將信件拖曳到垃圾郵件夾再開啟檢視郵件),但同仁可能為了想要再三確認內容細節,而忘記這項保護自己的重要措施。
 |
| 圖:透過Outlook檢視設定,將預覽視窗關閉,可以避免點擊信件就直接開啟閱覽。 |
 |
| 圖: 將可疑信件拉進垃圾郵件匣,再嘗試打開,所有藏在信件裡的連結都會原始呈現。 |
一旦信件被拉進垃圾郵件夾,該信件所有的釣魚程式完全都不會作動,所有的連結都會以文字呈現,而且無法點擊,必須把信件拉回收件夾,點選這些連結才會有效,對於想要確認郵件內容,但又不想被釣魚的大多數人們來說,是一個非常有效,可以保護自己的方法。
三、誤點引誘連結與去年同期演練結果相比仍然偏高
本次測試點擊信件中網頁連結之不重複郵件帳號144 個,佔總演練郵件帳號660之比率21.81%。可能也是因為本次演練信件標題與商業活動有關,標題令人感到焦慮,導致同仁為了急著想確認信中內容是否為真,而忽略這些連結可能導致一些惡意的行為(如:無預警下載有害程式,或是誘導到同仁連至釣魚網站要求留下帳密資料)。
四、沒有任何一位同仁點開附件👍
本次演練有發現同仁對附件檔已有相當高的警覺性,點擊陌生的執行檔,對電腦環境的破壞是最大的,只要它們能取得本機管理者權限,就很容易把所有本機硬碟資料全部帶走,或進行加密勒索。這類惡意程式一旦被啟動,可能會潛伏在公司內網,不斷進行相關資料的蒐集,為後續的攻擊作準備。
五、本次演練有收到40通以上的資安通報
公司於去年開始的資安教育訓練,就開始鼓勵同仁舉報疑似資安事件。本次開始演練後一小時左右即已收到同仁向法務及網路系統部的同仁通報。但過去因未曾發生過類似的事件,因此同仁較不清楚資安通報的程序。依據正在規劃上架公告的「資訊安全事件管理辦法」所述,疑似資安事件(即:資安警訊、第0級資安事件)的通報,以主要受影響的資訊資産(器材)之管理單位為優先通知對象。因公司有購買垃圾郵件過濾系統,因此若信箱裡收到「漏網之魚」的信件,通報網路系統部是沒問題的; 但若同仁無法確認是否為釣魚或是詐騙信時,為增進後續連繫效率,第一時間向資安單位通報亦可(分機88583)。
由本次演練的結果發現,聳動加上「悠關自己權益」的商業釣魚信,的確誘發了許多人的焦慮,想去點開信件查看內容。尤其是近8成的同仁上完課程後,仍然有2成的同仁被誘騙點擊連結,與一年前使用純八卦新聞標題的方式相比,本次演練很明確地讓我們感受到BEC釣魚信所帶來的社交工程威脅。希望大家透過這次演練能熟悉這樣的攻擊形態,待真正遇到實際的駭客攻擊時,可以及時發現,及時阻擋這些外來的攻擊。
 |
| 圖:前一階段導入期間所做的兩次社交工程釣魚信演練結果 |
延伸閱讀:
1.社交工程攻擊變體帶來新威脅:AI驅動的釣魚攻擊激增 - 財團法人台灣網路資訊中心部落格 | TWNIC Blog
2.駭客濫用生成式AI助長社交工程攻擊 企業資安防禦更艱辛|知新聞
留言
張貼留言