我們知道許多通過(guò)惡意軟件或系統(tǒng)漏洞來(lái)竊取密碼的技術(shù)方法，而其中最難抵御的方法之一就是讓用戶在不知情的狀況下主動(dòng)披露自己的登錄憑證。

[[217602]]

是的，這就是網(wǎng)絡(luò)釣魚(yú)。具體來(lái)說(shuō)，網(wǎng)絡(luò)釣魚(yú)就是誘騙用戶訪問(wèn)假冒的釣魚(yú)網(wǎng)站并將自己的登錄憑證輸入其中的一種技術(shù)手段。

我們經(jīng)常會(huì)看到假冒的Gmail或Dropbox電子郵件，而且大多數(shù)用戶都有能力判斷這些郵件屬于傳統(tǒng)的釣魚(yú)郵件。

但是，一旦釣魚(yú)郵件涉及工作相關(guān)內(nèi)容或看似來(lái)自其他可信來(lái)源時(shí)，用戶便難以判斷其真?zhèn)巍?/p>

試想一下，如果你收到一封自稱為企業(yè)IT部門(mén)的電子郵件，內(nèi)容為邀請(qǐng)用戶登錄新的人力資源系統(tǒng)。而企業(yè)又具備非常正規(guī)的溝通方式和渠道，那么這種通知方式就不免顯得十分奇怪。

但是，如果情況并非如此，該電子郵件可能會(huì)提示用戶點(diǎn)擊鏈接，而且如果該釣魚(yú)網(wǎng)站看起來(lái)足夠有說(shuō)服力的話，信任的用戶甚至可能會(huì)輸入自己的登錄憑證，這樣的話，攻擊者的惡意目的就達(dá)成了。

所以說(shuō)，企業(yè)應(yīng)該如何防范這種網(wǎng)絡(luò)釣魚(yú)方式呢?

最好的防御措施之一就是盡可能地實(shí)施雙因子身份認(rèn)證。如果登錄證書(shū)被盜用，攻擊者在利用這些證書(shū)之前還需要第二個(gè)認(rèn)證因素。這種措施無(wú)法阻止攻擊者竊取登錄憑證，但是能夠有效地阻止攻擊者成功利用這些獲取到的憑證。

另一個(gè)重要的防御措施就是對(duì)用戶進(jìn)行安全培訓(xùn)。

對(duì)用戶進(jìn)行培訓(xùn)能夠加深用戶對(duì)網(wǎng)絡(luò)釣魚(yú)技能的認(rèn)知，以便識(shí)別釣魚(yú)行為。此外，還能使安全團(tuán)隊(duì)從用戶行為(可能被技術(shù)人員認(rèn)為是理所當(dāng)然的行為)中學(xué)習(xí)到有價(jià)值的見(jiàn)解。

例如，用戶可能會(huì)習(xí)慣假設(shè)組織已經(jīng)對(duì)電子郵件進(jìn)行了過(guò)濾，以防止任何惡意郵件通過(guò)，但是這種假設(shè)是錯(cuò)誤的。無(wú)論多么高質(zhì)量的電子郵件保護(hù)措施，都可能會(huì)無(wú)法避免地“放過(guò)”一些惡意電子郵件。

對(duì)于惡意網(wǎng)站也是如此。用戶可能會(huì)理所當(dāng)然地認(rèn)為有保護(hù)措施已經(jīng)對(duì)惡意網(wǎng)站進(jìn)行了過(guò)濾，但是即便是最好的網(wǎng)頁(yè)過(guò)濾工具也可能會(huì)漏過(guò)少數(shù)的惡意網(wǎng)站。

一旦用戶能夠了解到，任何安全工具無(wú)法完全保障百分百地阻止所有的惡意電子郵件或站點(diǎn)，他們才有可能形成一種高度的責(zé)任感，來(lái)幫助維護(hù)組織的網(wǎng)絡(luò)安全。

此外，用戶能夠了解攻擊者可以輕松地建立一個(gè)釣魚(yú)網(wǎng)站也是非常重要的。

對(duì)攻擊者而言，建立一個(gè)包含登錄表單、標(biāo)題和組織logo的網(wǎng)站是一件非常簡(jiǎn)單的事情。此外，攻擊者還可以輕松地克隆任何公開(kāi)可用的網(wǎng)頁(yè)(甚至是您公司的網(wǎng)頁(yè))，并注冊(cè)一個(gè)類(lèi)似的域名來(lái)迷惑用戶。

更重要的是，攻擊者還可以獲得免費(fèi)的證書(shū)來(lái)顯示鎖定圖標(biāo)，該圖標(biāo)只意味著該網(wǎng)站的URL與證書(shū)相匹配，且其流量已被加密，但是這并不能保證用戶的安全。

用戶是安全等式成立的重要組成部分。因此，重視用戶培訓(xùn)使其能夠做出正確和安全的選擇，樹(shù)立企業(yè)安全意識(shí)文化將幫助企業(yè)在安全態(tài)勢(shì)中獲取重大成功。