员工网络安全培训计划和网络钓鱼测试通常对网络防范有好处,但有一所大学做得太过分,最终引起了恐慌。
上周,加州大学圣克鲁斯分校 (UCSC) 的学生和教职员工收到一封主题为“紧急通知:校园出现埃博拉病毒病例”的电子邮件,警告他们,一名最近前往非洲的教职员工被检测出感染了埃博拉病毒。
该电子邮件来自一个非大学电子邮件地址,并将用户引导至一个信息网站,其中一位收件人在Reddit上说该网站是一个 Proofpoint 网络钓鱼培训网站。
该大学为误导性的网络钓鱼测试道歉,但此前这引起了 UCSC 社区部分成员的恐慌和愤怒。该大学在教育学生和教职员工了解网络风险方面值得称赞,但网络钓鱼测试的设计应考虑到组织的战略目标,例如保护数据和凭证。
UCSC 埃博拉网络钓鱼电子邮件打破常规
大多数组织的网络钓鱼测试往往旨在培训员工不要泄露敏感信息或点击可能引发恶意软件攻击或凭据盗窃的有害链接或附件,因此此类测试通常采用 CEO 发送的紧急虚假消息的形式,引导收件人访问外部链接或文档。如果员工停下来思考,他们会识别出网络钓鱼企图并将其报告给 IT。如果他们点击,他们会被礼貌地告知他们未通过测试。
哇哦,UCSC 的电子邮件真是打破常规。
据《圣克鲁斯瞭望台》报道,加州大学圣克鲁兹分校助理社会学教授艾丽西亚·莱利向大学安全团队发送了一封电子邮件,批评其在网络钓鱼测试中选择了虚假的埃博拉病毒声明。
莱利写道:“作为一名研究传染病死亡率和教授埃博拉病毒的人口健康科学家,我认为在周日早上用这个话题向大学社区发送模拟网络钓鱼攻击电子邮件是不负责任和低俗的。”
测试发生后的第二天,加州大学圣克鲁兹分校首席信息安全官 Brian Hall 在一封电子邮件中向大学社区道歉。
霍尔写道:“电子邮件内容不真实且不恰当,因为它引起了不必要的恐慌,可能会破坏公众对公共卫生信息的信任。我们对这一疏忽深表歉意。”
他补充说,在网络钓鱼测试中使用埃博拉病毒“无意中传播了有关南非的有害信息”。
UCSC 网络钓鱼测试毫无用处
网络钓鱼测试应该让收件人了解信息的价值以及在点击或采取行动之前检查链接、地址和其他内容的重要性。
虽然紧迫感是关键,但让受助者因担心这种美国十年来未曾出现过的高度致命疾病而感到恐慌是毫无意义的。
原文始发于微信公众号(独眼情报):安全领域最愚蠢的事情:史上最严重的网络钓鱼测试(和国内某红队杜撰无下限低俗信息做测试类似)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论