易念科技：2021企业邮件钓鱼演练分析报告（28页）.pdf

1、在此处键入 2021 企业邮件钓鱼演练分析报告 易念科技|Coremail 2021 年 |企业邮件钓鱼演练分析报告 目录简介.1 关键发现.2 行业总数和分类.3 钓鱼中招率时间轴对比.6 模板主题中招率和使用率.12 模板类型中招率和使用率.13TOP 10 大钓鱼邮件主题.14 用户客户端对比.18 钓鱼邮件演练入门.20 企业实施中常见的误区.22 2021 年 |企业邮件钓鱼演练分析报告 1 介绍 每个企业的安全负责人都面临过同样的难题：纵使不断增加在复杂安全技术上的投资，针对企业的网络犯罪仍在持续上升。诚然，世上没有绝对的安全环境，但绝大多数企业宁愿花重金在安全技术和产品上，也不愿

2、在全员信息安全意识教育上有所投入，黑客往往能够采用最低的成本，从企业最薄弱的人员突破，使得企业的安全防线如同虚设。由此可见，从容易被管理者忽视的企业内部员工安全意识着手，定期进行安全意识培训和模拟钓鱼邮件演练才是根本上降低企业安全风险的最优方案。 Verizon 的2021 年数据泄露调查报告（DBIR）指出，2021 年数据泄露的主要原因来自 Web 应用程序攻击、 网络钓鱼和勒索软件。在疫情、远程办公等时势的影响下，涉及网络钓鱼的违规行为相较去年增加了 11，占比达到了 36。和去年一样，网络钓鱼仍是社会工程和恶意软件最常用的攻击手段和载体。 根据 Coremail 与奇安信行业安全研究中

3、心的联合监测评估，2020 年，全国企业邮箱用户共收到各类钓鱼邮件约 460.9 亿封，相比 2019 年收到各类钓鱼邮件的 344.3 亿封增长了 33.9%，2021 年钓鱼邮件规模可达 500 亿封。2020 年全国企业邮箱用户收到的钓鱼邮件数量约占企业级用户邮件收发总量的 6.9%，平均每天约有 1.3 亿封钓鱼邮件被发出和接收。由此可见钓鱼邮件引起的安全风险日趋严峻，若员工未接受任何钓鱼邮件的培训或演练，员工收到钓鱼邮件“中招”的概率将极高。 这里引入一个我们钓鱼系统中常用的概念 “钓鱼中招率” （Phishing Fraud Rate，后文简称 PFR）表示员工收到钓鱼邮箱后，做出

4、点击链接、扫描二维码和下载附件等危险操作的倾向。 这里我们通过将风险转化为可衡量的术语和数值， 方便企业领导者识别与排列人为风险优先级， 从而有针对性地对症下药。 了解企业风险 一个企业的整体 PFR 表示有多少员工可能因社会工程或网络钓鱼受骗，从而进一步泄露个人或者公司的一些敏感信息。较高的 PFR 显然表示企业内部存在更大的风险， 因为它反应了通常会有更多的员工会做出危险操作。较低的 PFR 表明员工网络安全意识较强，并了解如何识别社会工程或网络钓鱼特征，避免做出危险的尝试。网络钓鱼中招率（PFR）在本报告中还将提供更多有价值的信息，比如我们将 PFR 在同行业内做了横向对比，方便企业了解

5、自身在同行业中的风险定位。类似的我们用 PFR 在时间线上做了纵向对比， 帮助企业能够了解整体行业在安全意识培训和模拟钓鱼邮件演练的投入经过时间推移是否得到了对应的回报。 易念科技和 Coremail 易念科技在中国首创了人为因素风险教育管理平台， 已帮助中国上百家企业通过安全意识培训和模拟钓鱼邮件演练筑起了一道道坚实的企业 “人脑防火墙“。本报告结合了易念科技和 Coremail 多年在企业钓鱼邮件演练领域的丰富实践经验及研究成果， 希望此份报告能为企业了解自身风险定位，设置安全意识学习目标有所帮助。 2021 年 |企业邮件钓鱼演练分析报告 2 易念科技|Coremail关键结果 我们的研

6、究报告从三个阶段的数据结果可以总结以下几个结论： 在没有进行过安全意识培训和模拟钓鱼邮件演练的前提条件下，不管身处什么行业，每个企业都面临严重的信息泄露风险。统计结果表明所有行业的钓鱼基准测试 PFR 平均值是令人不安的 20.81。这意味公司有将近五分之一的员工受到社会工程和网络钓鱼诈骗的威胁。 任何企业都可以用三个月至半年的时间通过员工安全意识培训和模拟钓鱼邮件演练来加强企业信息泄露风险抗性。前提企业需要谨慎地定制一个优秀的培训计划帮助员工在短时间内提升自身的安全意识和技能水平。 长期坚持进行安全意识培训和有计划的模拟钓鱼邮件演练可以帮助各行业把人的风险因素降到最低。从我们的数据来看，经过