免隐私信息收集的邮件钓鱼演练方法、系统、设备及介质技术方案

本发明专利技术公开一种免隐私信息收集的邮件钓鱼演练方法、系统、设备及介质，涉及网络安全技术领域。该方法包括：对所有收件人邮箱地址进行哈希加密，得到对应的加密字符串；生成钓鱼网页；生成各收件人邮箱地址对应的钓鱼链接，并将各钓鱼链接均指向钓鱼网页；向各收件人邮箱地址分别发送指定邮件正文内容的钓鱼邮件；当收件人进入钓鱼网页，在个人信息输入框中填写个人信息并点击提交按钮时，获取钓鱼链接中的加密字符串并上传；接收并汇总所有上传的加密字符串，将对应的收件人确定为中招用户，并对所有中招用户进行宣导教育。本发明专利技术能够在钓鱼邮件演练过程中避免个人敏感信息的收集和传输，从而尽可能减少或避免个人信息泄露事件。件。件。

【技术实现步骤摘要】
免隐私信息收集的邮件钓鱼演练方法、系统、设备及介质


[0001]本专利技术涉及网络安全
，特别是涉及一种免隐私信息收集的邮件钓鱼演练方法、系统、设备及介质。

技术介绍

[0002]现如今大型企业上至总裁下至普通员工每天都要处理大量邮件，近年来通过钓鱼邮件收集个人敏感信息或公司重要材料的事件频发。为提高公司全员网络安全意识、检验公司员工面临社会工程学攻击时的识别能力、检验邮件网关、邮件沙箱等设备防护能力，大型企业有必要周期性的进行邮件钓鱼演练。普通的邮件钓鱼演练可以通过伪造公司官网页面直接收集个人银行卡、身份证号、工号或者公司重要资产信息，后台通过对这些信息进行汇总统计，并根据结果针对性的进行员工安全意识宣传教育。使用这种方式简单有效，但存在较多弊端，例如：邮件钓鱼演练过程中直接收集个人或公司重要信息涉嫌违法违规收集信息，直接收集这类敏感信息不仅可能会面临员工投诉纠纷，而且如果传输过程保密措施不当可能会导致敏感信息泄露，给公司带来风险。

技术实现思路

[0003]本专利技术的目的是提供一种免隐私信息收集的邮件钓鱼演练方法、系统、设备及介质，以实现在钓鱼邮件演练过程中避免个人敏感信息的收集和传输，从而尽可能减少或避免个人信息泄露事件。
[0004]为实现上述目的，本专利技术提供了如下方案：
[0005]一种免隐私信息收集的邮件钓鱼演练方法，包括：
[0006]对所有收件人邮箱地址进行哈希加密，得到对应的加密字符串；
[0007]生成钓鱼网页；所述钓鱼网页中包括个人信息输入框和提交按钮；
[0008]生成各所述收件人邮箱地址对应的钓鱼链接，并将各所述钓鱼链接均指向所述钓鱼网页；所述钓鱼链接中包括所述收件人邮箱地址对应的加密字符串；
[0009]向各所述收件人邮箱地址分别发送指定邮件正文内容的钓鱼邮件；所述指定邮件正文内容中包括所述收件人邮箱地址对应的钓鱼链接；
[0010]当收件人进入所述钓鱼网页，在所述个人信息输入框中填写个人信息并点击所述提交按钮时，获取所述钓鱼链接中的加密字符串并上传；
[0011]接收并汇总所有上传的加密字符串，将对应的收件人确定为中招用户，并对所有中招用户进行宣导教育。
[0012]可选地，获取所述钓鱼链接中的加密字符串并上传，具体包括：
[0013]通过javascirpt封装的URL对象的searchParams属性获取所述钓鱼链接中的加密字符串；
[0014]通过javascript的XMLHttpRequest对象构造请求，并将获取的加密字符串加入请求对象中上传。
[0015]可选地，生成各所述收件人邮箱地址对应的钓鱼链接，并将各所述钓鱼链接均指向所述钓鱼网页，具体包括：
[0016]将所述钓鱼网页部署在Python的Django框架中，并通过Django框架的路由配置文件为所述钓鱼网页配置URL；
[0017]将所述收件人邮箱地址对应的加密字符串作为URL的参数，生成各所述收件人邮箱地址对应的钓鱼链接；
[0018]在Web框架配置文件中进行URL映射配置，将各所述钓鱼链接均指向所述钓鱼网页。
[0019]可选地，向各所述收件人邮箱地址分别发送指定邮件正文内容的钓鱼邮件，具体包括：
[0020]使用Python的smtplib库的SMTP_SSL方法创建发件人邮箱服务器对象；
[0021]为所述发件人邮箱服务器对象配置发件人用户名及密码信息进行登录；
[0022]使用MIMEMultipart库创建邮件内容对象；
[0023]通过所述发件人邮箱服务器对象的邮件发送方法向各所述收件人邮箱地址分别发送指定邮件正文内容的钓鱼邮件。
[0024]可选地，获取所述钓鱼链接中的加密字符串并上传，之前还包括：
[0025]对填写的个人信息进行有效性校验，得到校验结果；
[0026]当所述校验结果为校验未通过时，提示收件人在所述个人信息输入框中更改个人信息后点击所述提交按钮，并返回步骤“对填写的个人信息进行有效性校验，得到校验结果”，直到所述校验结果为校验通过。
[0027]可选地，所述个人信息包括：银行卡号、手机号和身份证号；对填写的个人信息进行有效性校验，得到校验结果，具体包括：
[0028]采用Luhn算法对所述银行卡号进行有效性校验，得到第一结果；
[0029]采用正则表达式对所述手机号进行有效性校验，得到第二结果；
[0030]采用公民身份证号码校验规则对所述身份证号进行有效性校验，得到第三结果；
[0031]当所述第一结果、所述第二结果和所述第三结果均为通过时，则所述校验结果为校验通过；
[0032]当所述第一结果、所述第二结果和所述第三结果中存在至少一项为不通过时，则所述校验结果为校验不通过。
[0033]可选地，对所有收件人邮箱地址进行哈希加密，得到对应的加密字符串，具体包括：
[0034]使用Python的hashlib库的sha256方法，对所有收件人邮箱地址逐条进行不可逆哈希加密，得到对应的加密字符串。
[0035]一种免隐私信息收集的邮件钓鱼演练系统，包括：
[0036]邮箱地址加密模块，用于对所有收件人邮箱地址进行哈希加密，得到对应的加密字符串；
[0037]钓鱼网页生成模块，用于生成钓鱼网页；所述钓鱼网页中包括个人信息输入框和提交按钮；
[0038]钓鱼链接处理模块，用于生成各所述收件人邮箱地址对应的钓鱼链接，并将各所
述钓鱼链接均指向所述钓鱼网页；所述钓鱼链接中包括所述收件人邮箱地址对应的加密字符串；
[0039]钓鱼邮件发送模块，用于向各所述收件人邮箱地址分别发送指定邮件正文内容的钓鱼邮件；所述指定邮件正文内容中包括所述收件人邮箱地址对应的钓鱼链接；
[0040]钓鱼结果收集模块，用于当收件人进入所述钓鱼网页，在所述个人信息输入框中填写个人信息并点击所述提交按钮时，获取所述钓鱼链接中的加密字符串并上传；
[0041]钓鱼结果处理模块，用于接收并汇总所有上传的加密字符串，将对应的收件人确定为中招用户，并对所有中招用户进行宣导教育。
[0042]一种电子设备，包括存储器及处理器，所述存储器用于存储计算机程序，所述处理器运行所述计算机程序以使所述电子设备执行上述的邮件钓鱼演练方法。
[0043]一种计算机可读存储介质，其存储有计算机程序，所述计算机程序被处理器执行时实现上述的邮件钓鱼演练方法。
[0044]根据本专利技术提供的具体实施例，本专利技术公开了以下技术效果：
[0045]本专利技术提供的免隐私信息收集的邮件钓鱼演练方法，在收件人进入钓鱼网页，在个人信息输入框中填写个人信息并点击提交按钮时，仅获取钓鱼链接中的加密字符串并上传，而不上传收件人填写的个人敏感信息，从而避免了个人敏感信息的收集和传输，进而能够尽可能减少或避免因个人敏感信息传输导致的个人信息泄露事件的产生。本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种免隐私信息收集的邮件钓鱼演练方法，其特征在于，包括：对所有收件人邮箱地址进行哈希加密，得到对应的加密字符串；生成钓鱼网页；所述钓鱼网页中包括个人信息输入框和提交按钮；生成各所述收件人邮箱地址对应的钓鱼链接，并将各所述钓鱼链接均指向所述钓鱼网页；所述钓鱼链接中包括所述收件人邮箱地址对应的加密字符串；向各所述收件人邮箱地址分别发送指定邮件正文内容的钓鱼邮件；所述指定邮件正文内容中包括所述收件人邮箱地址对应的钓鱼链接；当收件人进入所述钓鱼网页，在所述个人信息输入框中填写个人信息并点击所述提交按钮时，获取所述钓鱼链接中的加密字符串并上传；接收并汇总所有上传的加密字符串，将对应的收件人确定为中招用户，并对所有中招用户进行宣导教育。2.根据权利要求1所述的免隐私信息收集的邮件钓鱼演练方法，其特征在于，获取所述钓鱼链接中的加密字符串并上传，具体包括：通过javascirpt封装的URL对象的searchParams属性获取所述钓鱼链接中的加密字符串；通过javascript的XMLHttpRequest对象构造请求，并将获取的加密字符串加入请求对象中上传。3.根据权利要求1所述的免隐私信息收集的邮件钓鱼演练方法，其特征在于，生成各所述收件人邮箱地址对应的钓鱼链接，并将各所述钓鱼链接均指向所述钓鱼网页，具体包括：将所述钓鱼网页部署在Python的Django框架中，并通过Django框架的路由配置文件为所述钓鱼网页配置URL；将所述收件人邮箱地址对应的加密字符串作为URL的参数，生成各所述收件人邮箱地址对应的钓鱼链接；在Web框架配置文件中进行URL映射配置，将各所述钓鱼链接均指向所述钓鱼网页。4.根据权利要求1所述的免隐私信息收集的邮件钓鱼演练方法，其特征在于，向各所述收件人邮箱地址分别发送指定邮件正文内容的钓鱼邮件，具体包括：使用Python的smtplib库的SMTP_SSL方法创建发件人邮箱服务器对象；为所述发件人邮箱服务器对象配置发件人用户名及密码信息进行登录；使用MIMEMultipart库创建邮件内容对象；通过所述发件人邮箱服务器对象的邮件发送方法向各所述收件人邮箱地址分别发送指定邮件正文内容的钓鱼邮件。5.根据权利要求1所述的免隐私信息收集的邮件钓鱼演练方法，其特征在于，获取所述钓鱼链接中的加密字符串并上传，之前还包括：对填写的个人信息进行有效性校验，得到校验结果；当所述校验结果为校验未通过时，提示收件人...

【专利技术属性】
技术研发人员：李少波，孟琦，李锐，杨剑桥，李新，
申请(专利权)人：中国人民财产保险股份有限公司，
类型：发明
国别省市：