征文 | 陈欣炜:邮件钓鱼测试和合规性要求
江湖人称KC,18+工作经验,创业2次,现招商银行全资子公司招银云创从事合规和信息安全工作。多年的职业生涯里,从甲方到乙方,再从乙方到甲方,经历一线、二线工程师、技术部门负责人、VP、咨询公司合伙人等多个岗位,在机场、地铁、电信、电力、政府机关、航运、银行、交易所、券商等行业具备服务、咨询和管理经验。
近年来,邮件钓鱼已经作为测试员工安全意识的一项重要手段,其被设计、被使用、被通报,被统计范围之广,已经有一丝“滥用”的疑虑了,因此本文打算从合规性方面聊开去,同时分享一些之前笔者看到或听到的有趣故事。
这里的邮箱钓鱼,应区分于传统的使用可延长回收设施,通过粘粘剂从邮筒中获取的措施(是的,这个才是传统,甚至境外还针对此项犯罪立法),而仅指基于网络钓鱼(Phishing,基于phone和fishing的合成词)为基干的欺诈行为。
作为反钓鱼的目的,即是防止员工被邮箱植入木马,通过邮箱发送敏感/机密信息,提升信息安全意识等等等等。我们可以发现,反钓鱼就是一场模拟战,通过不断的测试提升员工的安全意识,降低(而不是杜绝)安全事件的发生。
无论哪种钓鱼测试,都需要经过领导层的授权,而且建议领导层全员阅知(原因后面案例可以分析),已授权的测试,而且是书面授权(建议公章,领导层签字),是为了规避基础的刑法以下条款:
“第二百八十五条 非法侵入计算机信息系统罪
违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。提供专门用于侵入、非法控制计算机信息系统的程序、工具,或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具,情节严重的,依照前款的规定处罚。单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。”
虽然说,书面的授权可以规避部分法律要求,但除了法律以外,书面授权一样可以满足行业要求和标准要求,如:
“《中华人民共和国互联网电子邮件服务管理办法》第13条:任何组织或者个人不得有下列发送或者委托发送互联网电子邮件的行为:
①故意隐匿或者伪造互联网电子邮件信封信息;
②未经互联网电子邮件接收者明确同意,向其发送包含商业广告内容的互联网电子邮件;
……”
小案例:
某司钓鱼测试因未告知所有领导层,导致某VP被钓鱼,最终CIO和钓鱼项目负责人被问责。
笔者看到的和参与的钓鱼测试中,基本上中招较多的邮件为以下10种:
1. 模仿安全部门/运维部门要求进行安全警告,要求点击链接或者下载附件安装;
2. 模仿领导层/行政部要求对公司的人气比赛点击网络链接投票、扫二维码进行关注(这几年屡试不爽,当然也可以换成某监管层,但会有问题);
3. 模仿人事部门要求配合点击链接进行测试,如心理测试;
4. 模仿快递公司,以快递单号有误、退款等原因,要求点击链接;
5. 模仿监管部门/安全部门/运维部门,以验证密码的原因要求提供用户名和密码;
6. 模仿系统本身,发送异常登录信息,要求点击链接进行修正;
7. 模仿某新闻,传递时事后插链接引诱点击;
8. 模仿某电商广告,引诱点击图片或链接;
9. 模仿财务部门,由于某些不可知的财务因素导致工资被多扣除,要求点击链接或扫描二维码退回;
10. 模仿运维部门,以系统升级的理由要求点击链接或提供用户名密码(这个近年中招越来越少)。
邮件钓鱼的目的无非就是让你点开邮件,点击链接或下载附件,但正文真的可以随心所欲么?当然是不对的。
“刑法第279条:冒充国家机关工作人员招摇撞骗的,处三年以下有期徒刑、拘役、管制或者剥夺政治权利;情节严重的,处三年以上十年以下有期徒刑。
冒充人民警察招摇撞骗的,依照前款的规定从重处罚。”
小案例:
笔者若干年前在呼叫中心经历过有人电话冒充工商局诈骗,于是直接报警。
“《中华人民共和国电信条例》第五十七条:
任何组织或者个人不得利用电信网络制作、复制、发布、传播含有下列内容的信息:
①反对宪法所确定的基本原则的;
②危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一的;
③损害国家荣誉和利益的;
④煽动民族仇恨、民族歧视,破坏民族团结的;
⑤破坏国家宗教政策,宣扬邪教和封建迷信的;
⑥散布谣言,扰乱社会秩序,破坏社会稳定的;
⑦散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的;
⑧侮辱或者诽谤他人,侵害他人合法权益的;
⑨含有法律、行政法规禁止的其他内容的。”
脑子里一直闪过的是某部漫画中,大会规则允许携带任何武器,于是某参赛者带了机器人并被允许,但机器人在大会上开枪,导致参赛者违反枪支管理法而取消资格。
小案例
某司钓鱼,CTO痴迷邮件中的钓鱼竿而点击连接,发送了信息,还要求IT人员提供真实链接(人性的光辉就是爱好……)
钓鱼的结果往往是个故事,可能是喜剧,甚至是爆笑喜剧。正常而言,一次没有任何培训的钓鱼测试,可以有30%的人员不中招已经是很不错的成绩了。同时从钓鱼邮件的点击时间分布来看,两个12点是高发期(是因为饿和累么?),再从部门的中招度来看,业务部门基本上沦陷状态,而人事行政和销售基本不中招(是因为邮件太多看不过来么,笑)。但无论是喜剧还是悲剧,都要有个汇总的过程,而汇总的结果,其实也有合规要求,尤其是钓鱼测试在政府、军工、或者某些敏感部门的时候。不信的话可以看看下面刑法的法条:
“第二百一十九条 侵犯商业秘密罪
有下列侵犯商业秘密行为之一,给商业秘密的权利人造成重大损失的,处三年以下有期徒刑或者拘役,并处或者单处罚金;造成特别严重后果的,处三年以上七年以下有期徒刑,并处罚金:(一)以盗窃、利诱、胁迫或者其他不正当手段获取权利人的商业秘密的; ”
“第二百八十二条 非法获取国家秘密罪
以窃取、刺探、收买方法,非法获取国家秘密的,处三年以下有期徒刑、拘役、管制或者剥夺政治权利;情节严重的,处三年以上七年以下有期徒刑。非法持有属于国家绝密、机密的文件、资料或者其他物品,拒不说明来源与用途的,处三年以下有期徒刑、拘役或者管制。”
“第二百五十三条之一 侵犯公民个人信息罪
违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。”
小案例:
笔者在某司测试后,第一时间不是让同事汇报,而是直接询问了客户辖警署(貌似可以猜出是哪类客户,笑),然后刻盘报备。
虽然目前并未针对电子邮件立法,但前年的某件事已经令邮箱防护提上日程,本文的目的还是想让参与或设计钓鱼邮件测试的各位同仁,牢记法律底线,不能知法犯法。
本文行文仓猝,可能会有法条遗漏或认识不深的情况,请各位见谅。
陈欣炜
2019年7月21日于家中
往期征文
三月主题:《数据安全面面观》
征文 | 顾伟:关于中国数据跨境传输合规之思考征文 | 赵锐:云端数据安全浅谈征文 | 蔚晨:数据驱动的安全防控体系探究征文 | 张喆:在开放共享环境下的数据安全安在征文,3月月奖是谁胜出?
四月主题:《一个人的安全》
征文 | 周逸传:一个人的安全?我笑了征文 | 武鑫:一个人的安全,在变化中促成长征文 | 陈欣炜:一个人的安全,或许你要扛起整个公司征文 | 黄猛:一个人的安全?你不是一个人在战斗!征文 | 顾伟:一个信息安全从业者的自我修养安在征文,4月月奖是谁胜出?
五月主题:《网络安全“值钱”吗》
征文 | 陈欣炜:联合起来,让网络安全创造价值征文 | 顾伟:网络安全“值钱”吗?征文 | 赵锐 :从网络安全转向业务安全的价值实现安在征文,5月月奖是谁胜出?
七月主题:《社工记》
征文 | 沈青:网络安全社会工程学起源与应用
如何加入诸子云
诸子云已然来了,
目前已在上海、北京、武汉、深圳等地设立本地机构,可有心动?
心动不如行动,赶快联系我们,诸子云欢迎您!
申请加入诸子云
长按二维码识别联系安在君