邮箱作为商务沟通、信息存储的载体，在办公中扮演着越来越重要的角色。然而近年来，网络中的钓鱼邮件无孔不入，花样百出的新鲜“钓鱼”骗术，总是令用户防不胜防。近日，某单位收到一封来自公司内部名为《财务部2023年第一季度个人劳动补贴申领通知》的邮件，部分员工按照附件要求扫码，并填写了银行账号等信息，最终不但没有等到所谓的补助，工资卡内的余额也被划走。

事实上，这只是邮件钓鱼威胁的冰山一角，据《2022年全球邮件威胁报告》显示，在2022年，全球每1000个邮箱，平均每月遭受的邮件攻击数量为299.27次（不含垃圾邮件），同比增加12.36%。其中钓鱼邮件占邮件攻击的绝大部分，高达68.47%。

尤其对政企单位而言，在关键时期的重点领域，电子邮件通常是正式沟通最常见的形式，也是更容易被高度信任的通信方式。钓鱼邮件攻击一旦奏效，攻击者不仅可以盗取目标信息、植入木马病毒、攻破内网终端，还能通过进一步渗透达到更高级别的攻击目的，必然会给组织带来严重的经济与名誉损失！

钓鱼邮件是指利用伪装的电子邮件，欺骗收件人将账号、口令等信息回复给指定的接收者，或引导收件人连接到特制的网页，一旦被勒索病毒入侵，轻则信息和数据被锁住，重则直接威胁企业的运营。钓鱼邮件攻击的套路大同小异，以上案例事件攻击路径分析如下：

1.攻击者定向获取通讯录分析职能架构，确定职能岗位人员邮箱。

2.利用综合管理类型人员邮箱，增加员工的信任度，发送二维码式样带诱惑性（财务补贴）邮件，诱使点击。

3.转移到手机端要求填写银行卡密码进行诈骗。

网络用户是网络钓鱼攻击的直接目标，用户的安全意识也是第一道防线，用户对于收到的邮件一定要对发件地址、内部链接等内容仔细检查，任何时候都不要轻易打开其中的文件和链接，认为必须要打开的建议和发件人联系确认。

我国在2022年遭受的钓鱼邮件攻击数量居世界第二位，相比2021年的增长达到了78%，网络钓鱼邮件诈骗数量明显增多，且已呈现泛滥之势。钓鱼邮件分为仿冒发件人邮件、链接钓鱼邮件、附件钓鱼邮件、鱼叉式钓鱼邮件、BEC钓鱼邮件等类型，通过各种伪装以假乱真，已跃然成为攻击成功率最高的方式之一。

2022年，国内重大钓鱼邮件事件包括：

• 某大学邮件系统遭受境外网络攻击，造成重大风险隐患。

• 某知名企业内部邮箱被盗，多名员工被骗钱。

• 某市多家豪华酒店遭遇钓鱼邮件攻击，窃取有较高知名度客人的敏感隐私数据。

• StrivePhish钓鱼组织发起大规模邮件钓鱼。

• 某国黑客利用邮件持续攻击我国重点机构，达到长期窃取数据的目的。

• 国内多家外企遭病毒邮件攻击。

通过以上事件可以看出，钓鱼邮件危害巨大，轻则只对单个用户产生影响，重则造成组织敏感信息泄露，网络防护体系整体崩溃。

据调查统计，企业平均每年要遭遇700次社会工程攻击，平均拥有1000个员工的机构每月收到116封电子邮件，其中有60%的邮件附带可疑链接被标记，也就是说，每一千员工的企业每月至少有14封网络钓鱼邮件被打开。道普信息风险管控专家表示，企业想要时时规避风险，提升网络安全指数，除了加强邮件安全防护体系建设外，也需要定期举行钓鱼邮件安全意识评估。

如今随着数字化的高速发展，各类陷阱邮件层出不穷。政企用户是网络钓鱼攻击的主要目标，用户的安全意识也是第一道防线，用户对于收到的邮件一定要仔细核对发件地址、内部连接等内容仔细检查。道普信息风险管控专家强调，通过钓鱼邮件安全意识测评服务，有效发现薄弱环节与人员，记录被测对象在测评过程中的行为数据，使客户认知自身安全意识水平的基础上同步提升企业员工安全意识，减少成本，促使政企用户发现自身潜在问题，及时改善，保障企业安全运营。