网络钓鱼,是发送非法电子邮件引诱终端用户做出响应的一种操作——无论用户的响应是点击可致恶意软件感染的链接,还是拱手交出平时不太可能告诉别人的口令之类敏感信息。
令人毛骨悚然的是,所有迹象都表明,网络钓鱼攻击越来越普遍了。Webroot表示,每个月都有近150万个新的网络钓鱼登录页面被创建。为什么网络钓鱼如此流行?原因有以下几点:
首先,这种操作成本非常低。发送电子邮件基本上是免费的,只需要花点时间编写下内容即可。不仅如此,电子邮件账户简直无处不在。人们通常至少有2-3个电子邮件账户,比如私人电子邮件账户、公司电子邮件账户、社交媒体账户等。这些账户可以从多台设备访问,智能手机、平板电脑,还有其他个人和公司设备都可以。
于是,想要展开网络钓鱼攻击的坏人,用一封邮件,就可以染指多台设备;而如果向同一个人的多个电子邮件账户发起网络钓鱼尝试,攻击者的战果甚至还能更丰富些。重大网络安全事件的根源,就是那小小不言的一次错误点击。
网络钓鱼测试是什么?
网络钓鱼测试或许是公司企业可采取的最有效网络防护措施之一了。
网络钓鱼测试,就是创建一封虚假网络钓鱼邮件,然后发送给指定用户组。用户收到该邮件时,可以像平时对待普通邮件那样处理。但当他们点击了邮件中的链接,就会被重定向到某种形式的登录页面。
取决于测试的目标,该页面可以是常见的“404错误”网页(如果你不希望用户知道自己在被测试的话),也可以是网络钓鱼和其他安全威胁的普及教育页面,帮助员工树立起更强的安全意识。有关该邮件的数据,比如谁收到了邮件、谁点击了里面的链接等等,也同时被收集起来用以后续分析。
通常,公司管理层会与IT顾问一起审阅测试结果,讨论怎样提升安全意识,或者,有必要的话,打造更健壮的安全态势。
为从网络钓鱼测试中收获更多价值,最好每年多进行几次测试,定期向用户发送不同类型的电子邮件。这些邮件的内容应多种多样,且因受众而异。
比如说,医疗系统中工作的员工,就应该至少接受一次看起来与医疗行业问题相关的网络钓鱼测试。基本上,要夯实安全意识,就得让这些测试更具欺骗性。换句话说,如果你能教会用户识别没那么容易认出的虚假网络钓鱼邮件,他们就更有可能避免被真实攻击钓上。
另外,建议区分用户,因材施教。对在识别网络钓鱼邮件上有困难的用户,增加额外的定制培训。某些用户在网络钓鱼测试中接受经验教训很快,初始测试过后就大幅降低了钓鱼链接点击率,但有些用户难免会困难些。
这种有区别的处理方式,可以让防骗教育接受有困难的用户,在将来树立起更好的安全意识,降低他们的风险。
我的公司也需要进行网络钓鱼测试?
大多数情况下,是的——你的公司需要这么做。不仅仅是某些合规标准要求安全意识培训,有时候甚至特别指定了网络钓鱼测试;而且大多数员工并未准备好应对及识别网络钓鱼,也是个非常明显的外部威胁。
网络钓鱼诈骗瞄准的是终端用户的疏忽大意,鉴于此攻击的广泛性,某人防范意识缺乏而掉坑造成严重影响的情况,真的仅仅是个概率问题。只要你指望自己的员工经常通过电子邮件来做业务,你就能感受到这一威胁给你的公司风险管理带来的巨大挑战。
一次重大网络安全事件,比如勒索软件攻击,给公司带来的损失,远比受控网络钓鱼测试和网络安全意识培训项目的开销要大得多。