内容

牛刀小试: 上千名加国税局雇员误入钓鱼骗局陷阱
Thousands of CRA employees fall for phony email test

在加拿大税务局网站遭严重网络安全漏洞Heartbleed侵袭一年后,该局进行了一次钓鱼骗局测试,以提高员工的安全意识。测试结果显示,有数千名税务局员工落入钓鱼电邮圈套,显示该机构尚存安全隐患。

One year after its network exposure to Heartbleed bug, a major online security breach, the CRA launched a phishing scam test to raise employees’ security awareness. As it turned out, thousands of CRA employees could not resist the lure of phony e-mails, suggesting security vulnerability remain at the agency.

 

(大中报泊然报道)加拿大税务局最近进行的一项安全测试发现,该局有数千名员工未能抵挡住钓鱼电邮的诱惑,纷纷落入骗子的圈套,这显示出税务局在遭严重网络安全漏洞Heartbleed侵袭一年后,仍然存在安全隐患。

 

数千名税务局员工落入钓鱼骗局

据《环球邮报》获悉,加拿大税务局的安全和内部事务部门在今年头三个月进行了一次钓鱼骗局测试,向1.6万名员工发出了一封旨在转发潜在危险信息的电子邮件。测试结果显示,有78%的税务局员工并未点击邮件中包含的有钓鱼企图的链接,但这也意味着还有大约3500名员工落入了钓鱼电邮圈套,即便他们已被提前告知将会进行相关测试。

 

网络钓鱼骗局通常涉及鼓励用户点击某个链接的电邮,而一旦用户点击了这些链接,其电脑就会遭到恶意软件的攻击。

 

在去年,加拿大税务局网络曾因遭受Heartbleed漏洞侵袭而被迫延迟了报税截止期限。Heartbleed漏洞是出现在开源加密库OpenSSL加密机制中的一个程序错误,黑客可以利用这个缺陷轻松潜入存在漏洞的系统,窃取用户的密码和其他加密信息。最终,安省伦敦市一名计算机科学专业学生因为利用Heartbleed漏洞窃取敏感信息而遭到数项指控。

 

加拿大税务局并未提供其用于测试的钓鱼电邮样本,而只是表示该份电邮看起来像是来自机构内部,但其中却包含类似矛盾信息等线索,以提示收信人关注这些信息的真正来源。

 

但是皇后大学计算机学院教授斯吉尔克恩(David Skillicorn)称,在不知道钓鱼电邮内容的情况下,很难判断测试结果究竟是令人惊讶还是令人感到放心。斯吉尔克恩指出,虽然许多网络钓鱼都是显而易见的骗局,但有时候黑客也会伪造更加令人信服的电邮,让收信人误以为其是来自值得信赖的同事。

 

斯吉尔克恩同时表示,政府部门的电脑网络往往都有安全防火墙,即便在其员工点击恶意链接时也可保护其系统免受外来攻击。斯吉尔克恩还指出,在用户使用手机账户阅读邮件时往往更难识别钓鱼电邮。

 

税务局将进一步加强员工培训

《环球邮报》通过《知情法》获得的一份内部简报备忘录显示,在加拿大税务局于2014710日的会议上提出要进行网络钓鱼骗局测试时,公共部门工会曾表示反对。

 

该份于201485日发送给加拿大税务局官员的简报称,工会的主要担心在于如果员工在网络钓鱼骗局测试中的表现不好,将会引发媒体的负面报道,从而会影响加拿大税务局员工的士气。

 

加拿大税务局发言人贝德鲁(Philippe Brideau)在一封电邮中称,该测试结果将促使税务局进一步加强员工培训。

 

贝德鲁称,鉴于此次测试结果,加拿大税务局将会继续设法提高员工的安全意识和加强员工培训,其中包括防钓鱼电邮和网络安全教育。贝德鲁同时表示,加拿大税务局的电脑系统安全无虞,网络钓鱼骗局测试绝不会泄露纳税人信息。

 

美国电脑工业协会 (Computing Technology Industry Association)本周公布的一项国际调查结果显示,有65%受访加拿大高管表示网络安全威胁正在增加。此外,还有近半加拿大受访者表示,网络安全事件中涉及的人为错误越来越多,其中包括当事人未有遵守安全程序,以及工作人员未能及时了解新威胁。

我们鼓励所有读者在我们的文章和博客上分享意见。We are committed to maintaining a lively but civil forum for discussion, so we ask you to avoid personal attacks, and please keep your comments relevant and respectful. Visit the FAQ page for more information.

验证码
请输入验证码