谷歌的在線辦公套件Docs近日遭受了一起大規(guī)模釣魚攻擊，并以很快的速度在網上傳播，好在谷歌已經解決了這個問題。

[[190440]]

據(jù)悉，這起攻擊通過偽造谷歌Docs的應用向用戶提出帳號權限請求，若用戶點擊并確認授權，那么行騙者就將獲取到用戶的谷歌帳戶訪問權限。在入侵成功后，釣魚應用會向用戶的通訊錄好友發(fā)送電子郵件來實現(xiàn)連環(huán)傳播。

據(jù)稱，給予Gmail帳號權限就相當于提供了用戶名和密碼，即使沒有輸入密碼也會成為釣魚攻擊的受害者。

對此谷歌提醒用戶不要點擊陌生的鏈接，也不要下載來歷不明的應用程序，這些都有可能成為釣魚攻擊的受害者。

好在如今局勢已經得到了控制，該應用也被谷歌禁用了。事實上這也不是谷歌第一次被釣魚攻擊了，畢竟想谷歌這種體量的公司和產品影響力，被釣魚更是家常便飯，所以今天我們和大家談的就是釣魚。

[[190441]]

釣你魚怎么了?

據(jù)統(tǒng)計，約92%的數(shù)據(jù)泄露事件與社會工程學事件和魚叉式網絡釣魚攻擊有關。網絡釣魚攻擊通常是電子郵件釣魚，然后騙取受害者點擊惡意鏈接，最后使用惡意的漏洞Payload攻擊受害者計算機。

換句話說，如果一個員工誤點擊惡意鏈接，黑客可能被盜取賬戶信息，或者電腦被人種上木馬，導致企業(yè)內網因此淪陷，業(yè)務數(shù)據(jù)和敏感信息也會陷入巨大風險之中。

新式的釣魚郵件通常含有連往釣魚網站超鏈接;冒名發(fā)信后，要求回信至與發(fā)信人完全無關的電子郵件地址郵件;以及冒名金融、第三方支付、快遞公司等的偽造郵件，欺詐用戶。

[[190442]]

面對這么多釣魚郵件，我怕是要把自己變成鯊魚才能放心

變成鯊魚，變得強大，你需要：

首先!

在點擊運行程序或打開不明文件時要先用別的方法(如電話或即時通訊)確認。隨時確認在今時今日必須成為日常核實工作的一部分。隨時報告任何可疑的東西。必須對不知來源的，不受信任的郵件提高警惕，而假如不小心運行了什么不明程序，應該及時報告。最起碼，亡羊補牢為時未晚，受到釣魚郵件攻擊不是值得羞愧的事情，由于攻擊太復雜，任何人今天都可能被騙，即便是安全專家也不例外。

其次!

員工要學會認識釣魚郵件的特征，企業(yè)也可以使用假冒的釣魚手法來對員工進行測試。這樣員工在遇到釣魚郵件的同時，可以提前發(fā)現(xiàn)其威脅，如果做法的當，員會工質疑任何來歷不明的、要求輸入個人資料的電子郵件并且在執(zhí)行程序時更加小心。

然后!

親身體驗，現(xiàn)身說法的效果極好，如果針對性釣魚的做法不幸在員工身上得逞，可建議員工針對自身經歷寫出自己疏忽犯錯的地方，并且以真實的網絡釣魚電子郵件做范例進行鑒別，最終達到疏而不漏，強化意識的目的。

最后!

如何保證我們的信息安全呢?其中必須要做的是在公司防止我們的員工信息泄露。那個經常打電話收集公司組織架構圖，員工姓名和電話號碼的人，有可能不是一個真正的你家員工，他們可能是騙取我們員工信息的人。通過以下幾個步驟-確保自己和公司的信息安全。

1. 相信你的直覺 - 如果一個請求看起來有問題，那么可能就是有問題的。

不管這個人是值得信賴的還是有話語權的，如果這個請求不正常，那就要用懷疑的態(tài)度去對待有問題的請求。

2. 驗證請求者 - 信息竊賊經常通過偽裝成一個內部員工來竊取情報

可以通過公司電話簿通信錄的記錄重新回撥回去，來驗證這個人的真假。

3. 利用公司資源 - 聯(lián)系信息和組織結構 - 這兩個信息竊賊想要的東西，默認就存在于企業(yè)的網絡中。只要是正式員工就會有權限就能看得到，如果他們看不到那就說明不是正式員工。

4. 通報專家 - 如果確認有這樣可疑的行為(無論這個人是通過電話還是郵件)，請確保相關信息安全或設施安全小組已知曉。

[[190443]]

【本文為51CTO專欄“柯力士信息安全”原創(chuàng)稿件，轉載請聯(lián)系原作者(微信號：JW-assoc)】

戳這里，看該作者更多好文