当前位置: > 生活环境 > UIT在斯坦福社区构建钓鱼意识

UIT在斯坦福社区构建钓鱼意识

邀请你参加Donna Lopez的万圣节派对的电子邮件邀请让你大吃一惊。你不知道Donna Lopez,但你打开电子邮件无论如何,因为一个聚会听起来很有趣。然而,一秒钟之后,您就会发现,这不是真正的邀请,而是来自大学IT(UIT)的提醒,提醒您钓鱼活动有多么阴险。

大学信息安全咨询办公室主任Michael Timineri说,钓鱼信息以多种形式传给斯坦福社区的成员,并且通常使用根据我们的紧迫感、恐惧、好奇心、gr来玩的策略。需要帮助。(图像信用:Stacy Lee)

该党邀请是斯坦福大学信息安全办公室(ISO)管理的“钓鱼意识计划”的一部分,该计划经过18个月的非常成功的试点,约有3000名受访者,于今年5月扩大。这个项目现在包括大约17000名教职员工,旨在帮助校园社区成员学会识别和保护大学——以及他们自己——免受恶意电子邮件的伤害。

每个星期,发送一个模拟真实钓鱼诈骗的消息。预期校园社区的成员会认识到这些电子邮件是钓鱼的企图,而不是点击其中包含的链接,并通过将它们转发到垃圾邮件@stanford.edu向ISO报告。从本月开始,那些不点击的人将被从下周的模拟中省略。

Michael Timineri,ISO信息安全咨询部主任,回答了有关该项目的问题,并分享了UIT关于斯坦福对钓鱼的敏感度的发现。

nbsp;

为什么网络钓鱼被认为是对我们隐私和网络安全的最大威胁?

网络钓鱼无处不在,在绝大多数网络安全事件中扮演着重要角色。每天,我的办公室都会意识到多个社区成员的证件已经通过网络钓鱼被破坏。钓鱼信息以多种形式传给斯坦福社区的成员,通常采用一些策略,利用我们的紧迫感、恐惧、好奇心、贪婪或求助欲望。这些消息可能提示某人单击链接、打开附件,或者不知不觉地向对手提供凭证和其他敏感信息。

虽然斯坦福有许多信息系统来防止大多数恶意电子邮件到达社区成员,但是钓鱼信息可以高度定制,使用互联网上公开提供给目标收件人的信息。对网络钓鱼信息的猎物可能导致重大的个人或组织财务损失。不幸的是,我们的办公室已经意识到每天从网络钓鱼消息中产生的妥协。从对手的角度来看,网络钓鱼攻击是微不足道的发射和成本几乎没有,但仍然是非常有效的。正是由于这个原因,最好的防御是确保每个人都知道如何识别和响应可疑消息。

nbsp;

UIT从五月份的网络钓鱼认知计划中了解到教师和员工的网络钓鱼易感性有哪些?

自从该计划的扩展以来,我们看到了与钓鱼信息相关的威胁的意识的增强,以及更广泛的校园社区参与的显著扩展。所以,程序是按预期工作的。

nbsp;

你如何衡量这个项目的成功?

成功通过点击率来衡量,即人们在模拟的钓鱼电子邮件中点击链接的频率,以及报告率。换句话说,我们来看看人们多长时间向spam@stanford.edu报告模拟的或者实际的钓鱼电子邮件,以及随着时间的推移,趋势如何。更低的点击率和更大的报告是我们希望看到的。

因为点击率因活动而异,我们每年重复四次类似的活动,以便进行更直接的比较。例如,70%的接收者没有点击之前的假装是未能发送包裹的通知的钓鱼模拟,但是90%的接收者没有点击最近的模拟。这是一个实质性的进步。

虽然我们的模拟钓鱼系统跟踪个人点击,但我们从来没有报告在个人层面。这是一个“无伤害,无犯规”的教育计划,不打算以任何方式惩罚。如果有人点击模拟钓鱼消息中的一个链接,他们将被指向教育材料,这就是全部。

nbsp;

你如何想出虚假的钓鱼信息?

我们模拟的钓鱼信息取自于实际的钓鱼威胁,我们看到这些威胁进入大学或者我们的社区报告给spam@stanford.edu。我们尽量让我们的模拟与真正的钓鱼活动尽可能相似。

例如,一个斯坦福百货公司的员工最近成为了一个包含恶意附件的网络钓鱼邮件的受害者。那一周,我们的部门重新创建了恶意电子邮件的外观和感觉作为我们的模拟更广泛的社区。希望的是,模拟有助于防止其他人成为未来类似恶意邮件的牺牲品。

nbsp;

有一种我们最容易受到的钓鱼信息吗?

任何时候,钓鱼信息包含收件人期望的信息,如包裹递送通知或参加季节性聚会(如万圣节联欢会)的邀请,点击率都很高。

用户也倾向于更容易受到“高度仿效”的“鱼叉式网络钓鱼”消息。在最近的一个真实世界的phish中,一条定制的消息试图使用不包含任何附件或链接的定制消息从斯坦福社区成员那里勒索金钱。通过钓鱼意识计划,许多社区成员知道通过将可疑信息转发到spam@stanford.edu来向我们报告。

nbsp;

什么是程序的“越界”?

有两件重要的事情我们从来没有做过。首先,我们从来不假扮成斯坦福大学的单位或部门来发送信息,比如,据称从大学人力资源部发送一封关于改变福利的邮件。我们不想给斯坦福大学某个部门或部门造成不必要的负担,因为他们可能必须回答有关模拟的问题。虽然我们不这样做,但真正的攻击者往往伪装成斯坦福组织。

我们也不会伪装成真正的公司。例如,代替联邦,我们的模拟钓鱼活动可能被称为FiDEX。

nbsp;

你对我们那些想避免网络钓鱼受害者的人有什么建议吗?

从预防的角度来看,对未经请求的或者意想不到的电子邮件要小心,即使它们看起来来自你认识的人或者与你所参与的主题相关的人。如果您不确定是否可以信任电子邮件,请在单击任何链接或打开任何附件之前致电发件人以确认其真实性。我们已经发布了更多关于如何避免在PHISHIN。StdFord.EDU进行网络钓鱼攻击的信息。

nbsp;

你计划着什么样的变化?

目前,我们每周发送钓鱼模拟。然而,从本月开始,我们将减少用户持续识别我们的模拟的频率。

虽然目前没有计划进行额外的更改,但是为了确保社区的安全,我们将以基于电子邮件的威胁演变时适用的方式制定这样的程序。

打赏作者

UIT在斯坦福社区构建钓鱼意识:等您坐沙发呢!

发表评论

表情
还能输入210个字