钓鱼邮件作为一种常见的网络欺诈手段，已经严重威胁到广大师生的个人信息安全。近年来，以“安全认证”、“账号安全”、“薪酬”、“个税”、“工资”等关键词的诈骗邮件极为多发。     

大数据和网络管理中心、财务处已多次通过校内通知、微信公众号、网络安全培训会等多种形式进行网络安全意识宣传教育，取得了良好的效果。

近日，按照上级相关文件要求，为进一步提升师生网络安全意识，保护个人信息安全，大数据和网络管理中心联合财务处组织实施了吉林大学2023年“钓鱼邮件”网络安全演练。

此次钓鱼邮件演练旨在模拟高仿真、沉浸式真实场景，让广大师生切实体会“钓鱼邮件”的迷惑性和隐蔽性，从而擦亮眼睛，提高警惕。本次演练设计了几个常见的钓鱼“漏洞”：

1.虚构的部门名称 “财务部”、“安全认证中心”--发件人显示名可随意伪造，必须要看真实的发件人地址。

2.官方不会通过邮件索要重要个人信息，任何需要输入身份号、登录账号及密码、银行卡号等关键个人信息的邮件，都可判定为“钓鱼邮件”。

3.高度类似学校管理员的外部邮箱地址 ：“admin@jlu.edu.email”--我校通知不会使用外部邮箱发送。特别注意：校内邮箱账号也存在被盗可能，即使本校邮箱发出的通知，也务必辨别、核实！

在本次演练中，大部分师生展现了较好的网络安全意识，积极地向大数据和网络管理中心、财务处反馈举报“钓鱼邮件”。但仍有少部分师生“中招”。

演练数据一览：

本次演练总计发送邮件28431封，其中有近1/5的师生打开了邮件，超过1/20的师生点击链接，接近1/30的师生提交了数据。

在教职工群体和学生群体中，分别有3.85%和2.81%的人提交了数据。

钓鱼邮件形式多变，防不胜防，此次钓鱼邮件我们设置了警告跳转链接，对于师生填写的个人信息将进行保密，不会泄露。然而，真实的钓鱼邮件中此类链接一般是恶意病毒木马文件，一旦点击链接，就会自动加载执行程序，上网终端将感染木马病毒，继而造成数据泄露，甚至沦为“肉鸡”，被远程控制，将会造成无法预估的后果。

下面让我们看一下，典型的钓鱼邮件。

钓鱼邮件案例一：

钓鱼邮件案例二：

钓鱼邮件案例三：

在这里再次向广大师生提醒：

1、不要轻信任何要求修改密码或扫描二维码的邮件；

2、不要随意点击未知的链接或附件；

3、不要泄露自己的账号密码或其他个人信息；

4、切勿相信各种领补贴、薪金、退税的邮件；

5、如有疑问，可以及时联系相关部门进行核实。

尽管此次钓鱼邮件只是一场演练，但校园电子邮件遭受网络攻击的可能性客观存在。由于钓鱼邮件特征多变，仅靠系统拦截根本无法杜绝。我们必须认识到网络安全形势的严峻性。希望广大师生通过此次演练，切实体会到钓鱼邮件的迷惑性和隐蔽性后，提升自身安全意识，让安全意识入脑入心，共筑校园网络安全！学校也将会不定期开展钓鱼邮件演练，持续提升全校师生网络安全意识，加强我校网络安全保障。

大数据和网络管理中心

2023年12月22日