为深入贯彻落实上级部门关于网络安全工作的相关要求,切实提升我校师生对钓鱼邮件的识别能力与防范意识,进一步筑牢校园网络安全防线,依据《关于进一步加强学校网络安全防护的通知》(网信中心通知〔2025〕14号),网络信息技术中心于2025年8月29日至2025年9月13日期间组织开展了钓鱼邮件安全演练工作。现将演练情况报告如下:
一、邮件演练说明
本次演练旨在模拟攻击者对我校邮箱系统实施针对性钓鱼攻击的真实场景,所采用的钓鱼邮件均经过高度定制化设计,其内容及钓鱼页面均嵌入了与学校高度关联的信息要素,较常规钓鱼邮件更具迷惑性与欺骗性,从而有效提升演练的真实性与评估价值。
演练过程中,仅记录用户对模拟钓鱼邮件的交互行为,用于后续统计分析,以客观评估我校师生整体网络安全意识水平。演练全程不涉及任何真实数据采集或系统操作,不会对用户个人信息安全、系统环境及设备造成任何风险或影响。
二、邮件演练概况
本次演练于2025年9月1日至9月10日期间分批实施,共向校内4,302名用户发送了12,906封高度定制化的模拟钓鱼邮件,内容涵盖“邮箱系统安全类”“广告福利类”和“缴费通知类”三类典型钓鱼场景,相关邮件样例及识别要点详见附件。
截至2025年9月28日12时,共有1,414名用户查看了模拟邮件,占总用户数的32.9%;其中605人点击进入钓鱼页面,297人进一步输入了数据。值得注意的是,有155名用户在两类不同类型的演练邮件中均提交了信息,另有12名用户在全部三类邮件中均发生数据输入行为。
从类别分布看,“邮箱系统安全类”邮件查看人数为1,100人,点击页面365人,输入数据210人;“广告福利类”邮件查看999人,点击83人,输入数据37人;“缴费通知类”邮件查看1,207人,点击297人,输入数据82人。
邮件类别 | 用户总数 | 邮件查看人数 | 点击页面人数 | |
邮箱系统安全类 | 4302 | 1100 | 365 | 210 |
广告福利类 | 4302 | 999 | 83 | 37 |
缴费通知类 | 4302 | 1207 | 297 | 82 |
三、演练数据分析
本次演练不仅为深入理解师生在面对钓鱼邮件威胁时的行为特征提供了实证依据,也揭示了不同类型钓鱼邮件对用户心理的诱导效果及其引发的响应模式。具体分析如下:
“邮箱系统安全类”钓鱼邮件在2024年度演练中即为输入数据人数最多的类型,本次演练中该类邮件仍保持最高数据输入率。此类邮件通常伪装为学校IT部门发布的账户安全警告或系统升级通知,具有高度的权威性与紧迫感,易使用户误判为正式且紧急的官方通信。数据显示,在查看该类邮件的用户中,高达33.1%点击了钓鱼链接,其中19.1%进一步提交了账号密码信息。这表明,当邮件内容看似源自可信机构时,用户往往放松警惕,忽视必要的身份验证步骤。
相较而言,“广告福利类”与“缴费通知类”钓鱼邮件虽亦引起部分用户关注,但其数据输入率显著偏低。具体而言,“广告福利类”邮件的链接点击率为8.3%,数据提交率为3.7%;“缴费通知类”邮件的链接点击率为24.6%,数据提交率为6.8%。由于此类邮件常涉及身份证号、手机号等敏感个人信息,多数用户表现出较高的风险意识,对信息输入请求持谨慎态度。
值得注意的是,本次演练中有155名用户在两类模拟钓鱼邮件中均输入了数据,更有12名用户在全部三类邮件中均发生数据提交行为。此类重复“中招”现象反映出部分用户存在较为突出的网络安全意识薄弱问题。针对该高风险群体,网络信息技术中心将逐一开展针对性的安全教育与指导,切实提升其风险识别与防范能力,助力构建更加安全、可靠的校园网络环境。
四、邮件演练总结
本次钓鱼邮件安全演练有效检验了我校师生对钓鱼攻击的识别能力与安全防范意识,客观揭示了当前网络安全防护工作中存在的薄弱环节。尤其“邮箱系统安全类”钓鱼邮件的高成功率,凸显了进一步加强网络安全宣传教育的必要性与紧迫性。未来,学校将持续推进常态化安全演练机制,强化师生风险意识,全面提升校园整体网络安全防护水平。