邮件钓鱼演练

为了更好地认识企业的安全意识成熟程度，钓鱼邮件测试是最好的评估手段，是验证安全意识培训效果最有效的方法之一， 开展一次网络钓鱼能更快地认识公司人员的安全意识处于什么阶段，从而有针对性的开展安全意识培训。

一、服务内容

为甲方提供钓鱼邮件演练服务，验证企业员工的安全意识，并进行追踪和分析出数据，对钓鱼邮件演练做复盘， 对员工进行信息安全意识培训，介绍常见的钓鱼邮件类型以及该如何防范，收到钓鱼邮件后上报的途径等。

二、钓鱼演练目的

1、提升信息安全意识

2、识别与排列人为风险优先级，从而有针对性地对症下药

3、改变员工的不安全行为，降低人为风险

4、提升安全意识成熟度

三、钓鱼邮件演练实施方案

1、准备阶段

和客户相关负责人确认本次演练的测试对象人群，取得高层同意后制定实施方案。

2、设定邮件主题

冒充公司IT或行政部门发送钓鱼邮件，面对对象：全员。

伪装供应商、客户发送钓鱼邮件，面对对象：采购、销售、行政。

伪造面试候选人发送钓鱼邮件，面对对象：财务、法务、HR。

无论选择哪个作为测试对象，都需要得到高层的同意。

3、设定难度

一级钓鱼攻击——有很多指标可以很容易识别出是“钓鱼邮件”

二级钓鱼攻击——基于公司信息或个人信息的邮件

三级钓鱼攻击——有指向性、针对性的钓鱼攻击

四级钓鱼攻击或鱼叉式钓鱼攻击——具备个性化信息、商标、无拼写错误等特征。

4、追踪与统计

发布钓鱼邮件后，关注点击人数、报告钓鱼邮件攻击的人数、点击却未报告的人数、点击并报告的人数、未点击也未报告的人数、未点击却报告的人数等数据,重点关注点击率和上报率

5、开展培训

对本次钓鱼邮件演练做复盘，展示上一步中的数据，对员工进行信息安全意识培训，介绍常见的钓鱼邮件类型以及该如何防范，收到钓鱼邮件后上报的途径等。

四、企业钓鱼演练服务案例

伪造的钓鱼邮件1界面：

伪造的钓鱼邮件2界面：

后台查看触发情况：