国家网络安全宣传周预热 | 钓鱼邮件

KnowBe4最新发布的《2025行业钓鱼基准报告》显示，各行业员工整体平均钓鱼易感比例（Phish-prone Percentage, PPP）高达33.1%，即三分之一的员工容易上当受骗；若不进行安全意识培训，企业几乎处于“裸奔”状态。

国家网络安全宣传周临近，各企业正加紧策划相关活动。其中，钓鱼邮件防范是宣贯重点。为便于网安负责人收集素材，我们整理了近年来国内备受关注的企业级邮件钓鱼重大案例，涵盖攻击手法、损失金额及核心警示意义：

案例一

“老干妈”遭遇钓鱼诈骗

事件经过：

• 贵阳南明老干妈公司员工收到“高层领导”邮件，要求紧急支付合同款
• 诈骗分子使用 CEO邮箱相似域名（如 ceo@laoganma.com 伪装为 ceo@laoganna.com）
• 财务人员未电话核实，分5次转账1,178万元

结果：

• 警方紧急冻结嫌疑人账户，追回大部分资金
• 暴露问题：企业未执行“大额转账双人复核”制度

案例二

某上市公司“仿冒老板”骗走1.17亿

事件经过：

• 深圳某科技公司财务总监收到“董事长”邮件，要求加入“公司高管QQ群”
• 群内“董事长”“CFO”头像、昵称均高度仿冒，讨论“收购项目”营造真实感
• 指令向指定账户支付1.17亿元“保证金”

手法关键点：

• 提前盗取员工通讯录掌握组织架构
• 使用 Deepfake语音 在群内发送指令（警方通报）

结果：

• 资金被迅速转移至境外，仅追回2,000余万元

案例三

教授遭“学术钓鱼”泄露国家项目数据

事件经过：

• 某国防领域教授收到伪装成“国际学术期刊”的邮件：“您投稿的论文需紧急修改，点击链接登录系统”链接指向伪造的OA系统登录页，输入账号密码后
• 黑客窃取其邮箱权限下载涉密项目申报书17份

结果：

• 涉事教授被停职审查
• 国家保密局通报：科研机构已成APT组织重点攻击目标

案例四

跨境电商员工收“物流异常”邮件致损失

事件经过：

• 某深圳跨境电商公司运营人员收到“DHL物流警报”邮件：
• “您的货物（单号：GMXXXX）因违禁品被扣，点击查看处理方案”
• 点击链接后触发 Emotet木马，黑客潜伏内网3个月

结果：

• 盗取客户数据库（200万条）
• 篡改收款账户卷走货款+保证金超3,000万元

这些真实案例警示我们：在高度数字化的今天，一封钓鱼邮件足以引发灾难性后果。企业唯有将员工安全意识培训作为首要防线，配以可靠技术保障，方能筑牢生存根基。

对于企业来说，加强员工的网络安全意识至关重要。网络安全不仅是技术问题，更是关乎企业生存和发展的重大问题。企业应当通过定期的安全培训、案例分析等方式，强化员工的网安意识，让每位员工都能深刻认识到网络安全的重要性。

承制科技在网络安全意识宣贯服务上展现出了多样化和深刻的教育意义，通过采用不同形式的宣贯手段，使员工在潜移默化中逐步增强对网络安全的防范意识。以邮件安全的知识点为例，仅此一个知识点承制科技就能够运用多种宣贯方式：

邮件安全安全知识点

宣传海报

可制作成展板、易拉宝等多种形式，巧妙布置在办公区域的醒目位置。这些宣传材料不仅能在网络安全宣贯活动中发挥关键作用，还能在日常办公环境中持续展示，为员工带来“眼前一亮”的直观感受，从而更好地加深他们对网络安全重要性的认识。

邮件安全知识点

视频宣贯

比起枯燥的文字图片，优质的网安意识宣传视频能够集文字、图像、图形、声音、动画于一体，将抽象、枯燥的网络安全知识内容在短短的几分钟内清晰具体地传递给观众。

邮件安全知识点

屏保

屏保以图像的形式呈现在员工电脑屏幕上，无需员工额外操作，形成了一种长期持续、随时可见的宣贯形式，有效强化网络安全意识。

邮件安全知识点

安全意识小提示

全年一套365条，可邮件、公众号、学习系统等给员工推送，在持续且长久的宣贯中强化员工的安全意识

邮件安全知识点

模拟演练

模拟钓鱼邮件演练是以安全测试为目的，在企业和事业单位，对员工的安全测试为辅，安全意识培训为主的辅助工具。在明确个人隐私数据保护的前提下，进行的内部考核手段。建议结合安全意识培训同步进行，在培训前后分别实施演练，以检验员工警惕钓鱼邮件的意识提升强度。