網(wǎng)絡(luò)釣魚攻擊可竊取身份信息，摧毀生活。這種攻擊會波及到每個人，上至高級銀行經(jīng)理下至從未聽說過網(wǎng)絡(luò)詐騙的未成年人均有可能被感染。不過，令人遺憾的是，網(wǎng)絡(luò)釣魚攻擊已有10多年的歷史，但很多人仍因不了解該攻擊的基本原理而淪為此類網(wǎng)絡(luò)詐騙的受害者。

[[203535]]

首先讓我們了解一下成功的網(wǎng)絡(luò)釣魚攻擊所采取的攻擊方式：

• 利用數(shù)據(jù)訪問受害者的賬戶，然后提款或進行在線交易，如購買產(chǎn)品或服務(wù)。
• 利用數(shù)據(jù)以受害者名義開設(shè)虛假銀行賬戶或信用卡，然后利用非法支票套現(xiàn)。
• 在受害者的計算機系統(tǒng)中安裝病毒和蠕蟲，向受害者的聯(lián)系人傳播釣魚郵件。
• 利用某些系統(tǒng)存儲的數(shù)據(jù)獲取高價值的組織數(shù)據(jù)，如銀行信息、員工憑證及社保號等。

接下來，我們從幾個方面介紹網(wǎng)絡(luò)釣魚攻擊帶來的影響或損失。網(wǎng)絡(luò)釣魚攻擊會產(chǎn)生各種各樣的危害，在本文我們特別關(guān)注財務(wù)損失、聲譽損失及導(dǎo)致的拒絕服務(wù)(DoS)。

財務(wù)損失

對于組織來說，評估網(wǎng)絡(luò)釣魚攻擊導(dǎo)致的財務(wù)損失并不容易，因為要考慮多種因素。多年來，企業(yè)由于慘遭釣魚攻擊詐騙已損失幾十億美元。

就魚叉式釣魚攻擊來說，2015年平均每次攻擊事件就造成了150萬美元的損失。Ponemon機構(gòu)發(fā)布的報告表明，2016年第一季度，成功的網(wǎng)絡(luò)釣魚攻擊導(dǎo)致的平均損失高達370萬美元。即使已部署特定安全措施防止此類詐騙，組織仍遭網(wǎng)絡(luò)釣魚攻擊“光顧”。

盡管形勢很嚴(yán)峻，目前超過70%的組織仍依賴傳統(tǒng)殺毒軟件和反間諜軟件程序，掌握的有關(guān)如何保護數(shù)據(jù)的知識非常有限。組織需明白實現(xiàn)全面安全須采用廣泛的安全措施。傳統(tǒng)殺毒程序可能會過濾某些郵件或防止用戶打開某些附件，一旦惡意消息與常規(guī)詐騙消息存在差異，就有可能繞過殺毒程序而不被發(fā)現(xiàn)。

聯(lián)邦調(diào)查局(FBI)發(fā)布報告稱，大型企業(yè)因收到魚叉式釣魚郵件而遭遇了數(shù)次財務(wù)損失。利用這些郵件，攻擊者偽裝成公司管理人員，讓員工將資金轉(zhuǎn)賬給實則為攻擊者控制的賬戶。攻擊者偽造公司高層的賬戶，并結(jié)合其它釣魚攻擊方法讓員工誤認(rèn)為資金轉(zhuǎn)賬請求來自公司高層或供應(yīng)商。該報告還指出，攻擊者一般鎖定與國外供應(yīng)商有合作或經(jīng)常進行電子轉(zhuǎn)賬的企業(yè)。

2016年1月，奧地利飛機零件制造商FACC公司因遭遇釣魚攻擊損失近5400萬美元。鑒于公司遭受重大財務(wù)損失和聲譽損失，該公司的首席執(zhí)行官(CEO)于同年3年被解雇。

降低財務(wù)損失

已遭遇過釣魚詐騙的組織或此類攻擊的潛在受害者需制定并維護全面的釣魚攻擊防護計劃。這樣，組織即使不一定完全規(guī)避網(wǎng)絡(luò)釣魚攻擊風(fēng)險，但會避免直接損失或?qū)p失降至最低。

該計劃應(yīng)提供嚴(yán)格的規(guī)范，為用戶明確各種情況下的具體響應(yīng)操作。上面提及的FBI報告指出，大部分財務(wù)損失是在入侵發(fā)生的24小時之內(nèi)導(dǎo)致的。

為降低財務(wù)損失，組織應(yīng)采取以下措施：

• 明確所有利益主體，劃分職責(zé)并向其傳達。
• 制定與組織當(dāng)前的流程和程序相符的網(wǎng)絡(luò)釣魚防護和響應(yīng)計劃，并提供相關(guān)文件。
• 制定有效的內(nèi)部和外部溝通流程。
• 明確網(wǎng)絡(luò)釣魚響應(yīng)升級路徑。
• 盡量減少負面用戶體驗，樹立客戶對組織的在線服務(wù)的信心。
• 成立反網(wǎng)絡(luò)釣魚團隊，專門負責(zé)減少此類攻擊造成的損失。

聲譽損失

打造一個成功品牌需數(shù)年持續(xù)服務(wù)和用戶滿意度的積累。所有的成功品牌均來自于客戶的信任，而贏得客戶的信任并非易事。不要留有任何機會讓針對您的品牌權(quán)益的攻擊趁虛而入，因為這會對您的品牌信譽造成不可挽回的損失。

Frost & Sullivan公司的調(diào)查顯示，71%的安全從業(yè)人員將“品牌保護”視為首要任務(wù)。攻擊者每年都要向數(shù)百個頂級品牌發(fā)動數(shù)千次網(wǎng)絡(luò)釣魚攻擊。所有涉及在線業(yè)務(wù)的品牌都是攻擊者的目標(biāo)，而那些擁有海量用戶數(shù)據(jù)的企業(yè)倍受黑客青睞。

品牌信譽受損代價

組織的財務(wù)損失可能會在一段時間內(nèi)得到彌補，而品牌信譽損失則需數(shù)年時間才恢復(fù)。一旦組織遭遇攻擊事件，客戶未來或會中斷與組織的業(yè)務(wù)往來。

Ponemon機構(gòu)的調(diào)查表明，31%的受訪者表示若被告知合作組織遭遇數(shù)據(jù)安全入侵事件，會中斷合作關(guān)系。并且，他們還表示若第三方供應(yīng)商遭遇此類事件，會立即中止合同。

有意思的是，即使用戶并未向攻擊者提供信息而中招網(wǎng)絡(luò)釣魚詐騙，也會對公司產(chǎn)生誤解。實際上，就連客戶收到假冒組織的釣魚郵件都會在心中給企業(yè)形象打負分，致使品牌信譽受損。一旦公司被攻擊的消息擴散，原來越多的客戶會因擔(dān)心身份信息遭竊而轉(zhuǎn)向企業(yè)競爭者。

降低聲譽損失

品牌信譽指客戶對品牌的信任程度。即使企業(yè)已擁有強大客戶群，提供卓越產(chǎn)品或服務(wù)，請別忘了網(wǎng)絡(luò)攻擊者也能利用同等優(yōu)勢，通過精心準(zhǔn)備而提取企業(yè)的關(guān)鍵信息。品牌成功不僅僅取決于銷售額，在很大程度上還依賴于企業(yè)保護客戶及其信息的能力。因此，構(gòu)建安全架構(gòu)使企業(yè)與客戶安全地開展業(yè)務(wù)活動是企業(yè)的一個基本需求。

一旦出現(xiàn)數(shù)據(jù)丟失，媒體便立即會對攻擊事件進行各種分析，大肆渲染。因此，建議企業(yè)制定預(yù)案處理此類事件。企業(yè)應(yīng)坦率地講出攻擊事實，然后就攻擊原因和過程給出合理解釋。這將說明事態(tài)已在企業(yè)的控制之中。若您尚未弄清攻擊實情，請勿讓媒體對您指手畫腳，直至您徹底查明攻擊原由。

請勿責(zé)怪第三方，除非您100%確定此次攻擊事件屬于第三方責(zé)任范圍，且您的合同允許您這樣做。重建客戶信任的最有效途徑是立即就此次攻擊事件道歉，并明確如何降低損失。

導(dǎo)致拒絕服務(wù)

企業(yè)在節(jié)日期間會面臨更多釣魚欺詐郵件和DoS攻擊。2014年，著名的索尼影業(yè)遭黑客攻擊事件就始于員工點擊了釣魚郵件。時隔兩年，DoS攻擊愈發(fā)猖獗。若某人想損害您的業(yè)務(wù)，節(jié)日期間是最佳攻擊時機。因為節(jié)日期間是業(yè)務(wù)最繁忙的時候，發(fā)起攻擊可造成重大財務(wù)損失。

盡管DoS攻擊造成的財務(wù)損失為直接損失且因行業(yè)而異，但依賴互聯(lián)網(wǎng)開展業(yè)務(wù)活動的組織最易中招。除了收益，財務(wù)損失還包括攻擊調(diào)查和響應(yīng)開銷、客戶支持費用和經(jīng)濟訴訟以及導(dǎo)致的聲譽損失和生產(chǎn)力損失代價。

在線客戶通常希望可方便快速地獲取信息。微軟稱，如果你的站點速度比競爭對手慢250毫秒以上，客戶可能會對你失去興趣。此外，若客戶無法加載網(wǎng)站獲取特定信息、進行采購或使用特殊服務(wù)，會感到非常不滿。

盡管DoS攻擊對業(yè)務(wù)的整體影響難以評估，但企業(yè)在財務(wù)損失、客戶流動率和聲譽損失方面付出了高昂代價，這一點毋庸置疑。

避免損失

雖然我們不能完全避免此類攻擊事件，但在一定程度上可防止攻擊發(fā)生。

首先，確保您的公共web服務(wù)和其他服務(wù)在云端運行或與物理基礎(chǔ)設(shè)施隔離。這樣，一旦DoS攻擊發(fā)生，僅對網(wǎng)頁有影響，不會波及其他服務(wù)。

其次，確保公共托管服務(wù)提供商提供抗DoS服務(wù)。完善的端點防護必定能攔截大量釣魚郵件，否則員工可能會無意點擊這些郵件?；谶@種情況，應(yīng)對員工進行培訓(xùn)，使其提高警惕，了解如何應(yīng)對可疑釣魚欺詐。

此外，對公司重要業(yè)務(wù)如Twitter和Facebook上的公共主頁開啟雙重認(rèn)證。啟用雙重認(rèn)證后，密碼即使被竊取也沒有什么危險。甚至對于那些未采用雙重認(rèn)證的服務(wù)，也要采用唯一密碼，并在容器中加固。這樣，盡管密碼被竊取，攻擊者也無法獲得企業(yè)的完全訪問權(quán)。

原文鏈接：http://blog.nsfocus.net/phishing-attack-risk/

【本文是51CTO專欄作者“綠盟科技博客”的原創(chuàng)稿件，轉(zhuǎn)載請通過51CTO聯(lián)系原作者獲取授權(quán)】

戳這里，看該作者更多好文