根据《教育部科学技术与信息化司关于开展2023年教育系统钓鱼邮件专项演练的通知》(教科信司[2023]79号)、《浙江省教育厅办公室关于开展钓鱼邮件专项演练的通知》等文件精神,为提高浙江财经大学师生对钓鱼邮件的识别能力,校网络安全与信息化领导小组授权数字化办公室开展2023年浙江财经大学钓鱼邮件专项演练工作。
我校于12月18日成立浙江财经大学2023年钓鱼邮件专项演练工作组,并启动相关准备工作,制订演练方案。演练目标为全体教职工及部分不特定在校生。演练主题选用与电子邮箱本身相关的账号密码进行欺骗性获取的钓鱼邮件,方式为伪造学校官方邮箱发送钓鱼邮件,谎称收到网信办邮箱通知,伪装受害者邮箱异常,诱导受害者在钓鱼网站登录账号并修改密码,在受害者在钓鱼网站提交了账户及密码后才提示钓鱼邮件专项演练相关内容。在此过程中数字办会记录邮件发送数量、邮件打开数量、点击链接数量及提交账号密码数量四项关键数值。
钓鱼邮件内容
本次演练于12月25日正式开始发送钓鱼邮件,至12月28日停止发送。演练结果:教职工组共发送邮件1666封,其中邮件打开779封,点击链接277次,提交账户密码信息的120人;学生组共发送邮件4784封,其中邮件打开1965封,点击链接842次,提交账户密码信息的380人。发送的6450封钓鱼邮件中,教职工钓鱼邮件中招率7.2%,学生中招率为7.9%,总体中招利率7.8%,师生报告邮件可疑 24人次。
演练结果示图
本次演练发送的钓鱼邮件具有较强的欺骗性及迷惑性,邮件的发送人被伪造成了数字化办公室的官方邮箱,但演练结果显示我校师生对钓鱼邮件总体防护意识尚可。
通过此次真实模拟的钓鱼邮件演练,使师生更加深入地了解了钓鱼邮件的攻击方式,掌握了新的防范方法。后续数字化办公室将加强网络安全宣传力度,增加网络安全知识培训环节,将“网络安全为人民、网络安全靠人民”工作落到实处。