网络钓鱼识别
什么是网络钓鱼
网络钓鱼(Phishing,与钓鱼的英语Fishing发音相近,又名钓鱼法或钓鱼式攻击)是通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件,意图引诱收件人给出敏感信息(如用户名、口令、账号ID、ATM
PIN码或信用卡详细信息)的一种攻击方式。
E-Phishing平台解决什么问题?
E-Phishing提供公网、内网、专用设备等多种服务方式,严格遵循流程制度并通过ISO27001认证。除邮件钓鱼外,还提供邮箱网关安全检测、U盘钓鱼、WiFi钓鱼、短信与社交媒体钓鱼等多种社工渗透服务,协助测试“人脑防火墙”。
关于账号注册、权限、服务
账号注册后就可以使用了,有试用期吗?
企业需要用企业邮箱注册平台账号,注册账号可以免费使用平台的所有服务,试用期为2周,不限次数。
注册账号可以享受哪些服务?
企业自行注册E-Phishing平台账号,享受E-Phishing平台所有功能模块;超过50个热点场景的标准版钓鱼邮件模板;涵盖图说、视频、课件等类型的邮件安全主题标准版学习素材30个。
关于平台产品服务及部署
平台提供那几类服务?
企业平台服务有免费版,企业版,私有化部署。
免费版、企业版、私有化部署服务有哪些区别?
免费版:可免费获得50个员工管理权限,且平台使用周期为2周,使用次数不限。
企业版:满足企业开展大规模人数的模拟钓鱼邮件发送及培训,结合企业员工管理人数进行年度收费。
私有化部署:满足企业合规要求,把E-Phishing平台部署至企业方私有服务器。基于企业部署要求、license权限、升级更新等需求进行收费。
若是企业自主开发钓鱼模板,如何嵌入我方的钓鱼系统,需要企业配合的点?
企业自己开发场景模板,需要提供邮件的HTML文件以及钓鱼网站的HTML文件。邮件模板不能使用外部CSS样式,只能使用行内样式编写;钓鱼网站模板则可以按正常网站设计开发,将所有文件给到我们。最后由我们整合嵌入系统中。
系统私有化部署至企业内网,若企业想自主使用系统实施钓鱼,是否可行?
企业自主实现钓鱼需要熟练掌握系统的运行环境、操作及功能,可以应对各种突发情况,重点包括报告信息采集失效,服务器配置文件修改等等。需要企业耗费一定的精力及时间来掌握。
使用平台钓鱼工具相关问题
公网实施钓鱼,邮箱列表提供给你们安全吗?
a、邮箱列表导入至公网系统中,是加密存储的,在页面显示上也是脱敏处理。
b、本次钓鱼演练结束,相关数据、报告交付经客户验收无误后,可在客户确认的情况下对本次钓鱼数据做彻底删除。(公网系统上不保留任何企业数据)但彻底删除也会存在影响:无法统计多次钓鱼测试的对比分析
公网实施钓鱼,员工操作数据保存在公网安全吗?
系统提供了“是否记录员工提交信息”的可选操作,如果担心敏感信息被记录问题,可选择只记录员工的提交动作,不记录提交信息。
系统部署到企业方实施钓鱼,服务器必须要申请80端口吗?
访问钓鱼网站页面的话,是需要80端口的,必须要提供
浏览器、客户端都能正常访问钓鱼邮件吗?
客户端、浏览器、移动端等,均正常访问钓鱼邮件,钓鱼网站也是自适应PC和移动端的,无影响。
可以完全仿真企业邮箱后缀,伪造发件箱发送钓鱼邮件吗?
如果企业邮箱服务器有同源策略,完全后缀伪造的发件箱,企业方是收不到钓鱼邮件的,即使加了白名单也不行。我们建议企业伪造近似后缀的邮箱,具有迷惑性,钓鱼测试效果更好。
钓鱼邮件支持哪些形式?
钓鱼邮件支持附件、链接、输入敏感信息、扫描二维码等多种形式。