網(wǎng)絡(luò)釣魚(yú)已成全球企業(yè)的主要威脅。

[[211552]]

網(wǎng)絡(luò)釣魚(yú)，是發(fā)送非法電子郵件引誘終端用戶做出響應(yīng)的一種操作——無(wú)論用戶的響應(yīng)是點(diǎn)擊可致惡意軟件感染的鏈接，還是拱手交出平時(shí)不太可能告訴別人的口令之類敏感信息。

令人毛骨悚然的是，所有跡象都表明，網(wǎng)絡(luò)釣魚(yú)攻擊越來(lái)越普遍了。Webroot表示，每個(gè)月都有近150萬(wàn)個(gè)新的網(wǎng)絡(luò)釣魚(yú)登錄頁(yè)面被創(chuàng)建。為什么網(wǎng)絡(luò)釣魚(yú)如此流行?原因有以下幾點(diǎn)：

首先，這種操作成本非常低。發(fā)送電子郵件基本上是免費(fèi)的，只需要花點(diǎn)時(shí)間編寫(xiě)下內(nèi)容即可。不僅如此，電子郵件賬戶簡(jiǎn)直無(wú)處不在。人們通常至少有2-3個(gè)電子郵件賬戶，比如私人電子郵件賬戶、公司電子郵件賬戶、社交媒體賬戶等。這些賬戶可以從多臺(tái)設(shè)備訪問(wèn)，智能手機(jī)、平板電腦，還有其他個(gè)人和公司設(shè)備都可以。

于是，想要展開(kāi)網(wǎng)絡(luò)釣魚(yú)攻擊的壞人，用一封郵件，就可以染指多臺(tái)設(shè)備;而如果向同一個(gè)人的多個(gè)電子郵件賬戶發(fā)起網(wǎng)絡(luò)釣魚(yú)嘗試，攻擊者的戰(zhàn)果甚至還能更豐富些。重大網(wǎng)絡(luò)安全事件的根源，就是那小小不言的一次錯(cuò)誤點(diǎn)擊。

網(wǎng)絡(luò)釣魚(yú)測(cè)試是什么?

網(wǎng)絡(luò)釣魚(yú)測(cè)試或許是公司企業(yè)可采取的最有效網(wǎng)絡(luò)防護(hù)措施之一了。

網(wǎng)絡(luò)釣魚(yú)測(cè)試，就是創(chuàng)建一封虛假網(wǎng)絡(luò)釣魚(yú)郵件，然后發(fā)送給指定用戶組。用戶收到該郵件時(shí)，可以像平時(shí)對(duì)待普通郵件那樣處理。但當(dāng)他們點(diǎn)擊了郵件中的鏈接，就會(huì)被重定向到某種形式的登錄頁(yè)面。

取決于測(cè)試的目標(biāo)，該頁(yè)面可以是常見(jiàn)的“404錯(cuò)誤”網(wǎng)頁(yè)(如果你不希望用戶知道自己在被測(cè)試的話)，也可以是網(wǎng)絡(luò)釣魚(yú)和其他安全威脅的普及教育頁(yè)面，幫助員工樹(shù)立起更強(qiáng)的安全意識(shí)。有關(guān)該郵件的數(shù)據(jù)，比如誰(shuí)收到了郵件、誰(shuí)點(diǎn)擊了里面的鏈接等等，也同時(shí)被收集起來(lái)用以后續(xù)分析。

通常，公司管理層會(huì)與IT顧問(wèn)一起審閱測(cè)試結(jié)果，討論怎樣提升安全意識(shí)，或者，有必要的話，打造更健壯的安全態(tài)勢(shì)。

為從網(wǎng)絡(luò)釣魚(yú)測(cè)試中收獲更多價(jià)值，最好每年多進(jìn)行幾次測(cè)試，定期向用戶發(fā)送不同類型的電子郵件。這些郵件的內(nèi)容應(yīng)多種多樣，且因受眾而異。

比如說(shuō)，醫(yī)療系統(tǒng)中工作的員工，就應(yīng)該至少接受一次看起來(lái)與醫(yī)療行業(yè)問(wèn)題相關(guān)的網(wǎng)絡(luò)釣魚(yú)測(cè)試。基本上，要夯實(shí)安全意識(shí)，就得讓這些測(cè)試更具欺騙性。換句話說(shuō)，如果你能教會(huì)用戶識(shí)別沒(méi)那么容易認(rèn)出的虛假網(wǎng)絡(luò)釣魚(yú)郵件，他們就更有可能避免被真實(shí)攻擊釣上。

另外，建議區(qū)分用戶，因材施教。對(duì)在識(shí)別網(wǎng)絡(luò)釣魚(yú)郵件上有困難的用戶，增加額外的定制培訓(xùn)。某些用戶在網(wǎng)絡(luò)釣魚(yú)測(cè)試中接受經(jīng)驗(yàn)教訓(xùn)很快，初始測(cè)試過(guò)后就大幅降低了釣魚(yú)鏈接點(diǎn)擊率，但有些用戶難免會(huì)困難些。

這種有區(qū)別的處理方式，可以讓防騙教育接受有困難的用戶，在將來(lái)樹(shù)立起更好的安全意識(shí)，降低他們的風(fēng)險(xiǎn)。

我的公司也需要進(jìn)行網(wǎng)絡(luò)釣魚(yú)測(cè)試?

大多數(shù)情況下，是的——你的公司需要這么做。不僅僅是某些合規(guī)標(biāo)準(zhǔn)要求安全意識(shí)培訓(xùn)，有時(shí)候甚至特別指定了網(wǎng)絡(luò)釣魚(yú)測(cè)試;而且大多數(shù)員工并未準(zhǔn)備好應(yīng)對(duì)及識(shí)別網(wǎng)絡(luò)釣魚(yú)，也是個(gè)非常明顯的外部威脅。

網(wǎng)絡(luò)釣魚(yú)詐騙瞄準(zhǔn)的是終端用戶的疏忽大意，鑒于此攻擊的廣泛性，某人防范意識(shí)缺乏而掉坑造成嚴(yán)重影響的情況，真的僅僅是個(gè)概率問(wèn)題。只要你指望自己的員工經(jīng)常通過(guò)電子郵件來(lái)做業(yè)務(wù)，你就能感受到這一威脅給你的公司風(fēng)險(xiǎn)管理帶來(lái)的巨大挑戰(zhàn)。

一次重大網(wǎng)絡(luò)安全事件，比如勒索軟件攻擊，給公司帶來(lái)的損失，遠(yuǎn)比受控網(wǎng)絡(luò)釣魚(yú)測(cè)試和網(wǎng)絡(luò)安全意識(shí)培訓(xùn)項(xiàng)目的開(kāi)銷(xiāo)要大得多。