前言以下故事纯属虚构,如有雷同,纯属巧合。邮件钓鱼测试的最终结果出来了,所有部门都幸免于难,员工贡献了数据。领导在企业微信中强调,大家要注意,不要在一个地方跌倒两次。坐在我旁边的小杨还在后悔。为什么那天不小心点了邮件里的链接,还傻傻的填了登录账号和密码。他苦笑道:“这IT钓鱼邮件也太伪装了吧,啧啧,年会抽奖,今年还想着提前抽奖呢。”我暗自高兴。不是侥幸逃过一劫,而是我冒着风险通过了人身安全等级考试,心中有了默默更上一层楼的底气。被收留的同事非常恼火。他们在关键时刻掉了链子,太粗心了。地上有一道裂缝,恨不得始作俑者钻进去。大家都说策划人老周,平时笑眯眯的,很和善,实则满头墨汁。为企业内部安全和员工安全意识的提升做出了巨大贡献。有一段插曲差点打乱了考试的节奏。同事在七微发了邮件截图,怀疑是钓鱼邮件。同事们看到了,注意一下,或许就可以避免上当了。当然,对于策划者来说,这是尴尬的。若确认为钓鱼邮件,则对员工安全意识测试结果打折扣;如果不予确认,则属失职。最后,他们决定马虎,说是要调查,先搪塞过去。好在这个消息很快就被淹没了,策划者虚惊一场。领导最近嘱咐大家要“提高警惕,谨言慎行”,增强保密意识,切勿泄露商业机密。电子邮件中的链接在点击之前应三思。防火、防盗、防钓鱼。钓鱼邮件现状钓鱼邮件善于利用人们的心理。社交热点事件、节假日、双十一购物,这些时间点是钓鱼邮件传播的高峰期。邮件往来仍然是企业间沟通的主要方式。虽然微信已经普及了很长时间,但正式的信件和合同仍然主要通过邮寄方式进行。在一些金融机构中,电子邮件是与外界沟通的唯一渠道,也是安全风险的主要来源。发送网络钓鱼电子邮件是一种常见的社会工程攻击。在Verizon2017年发布的数据泄露调查报告中,多达66%的数据泄露事件与钓鱼邮件有关。2019年,Proofpoint发布的钓鱼邮件报告显示,83%的信息安全受访者曾遇到过钓鱼邮件。钓鱼邮件防御之路任重而道远。人的安全意识怎么强调都不为过。但是,强烈的思维惯性、行为习惯等是很难改变的。钓鱼邮件的攻击类型在攻击者眼中,钓鱼邮件是最有效、最简单的攻击方式。网络钓鱼电子邮件有两个目的。一是广撒网。发送大量钓鱼邮件,欲上钩者。攻击者通过这种方式获取银行账号和密码、社交账号和密码,然后利用这些秘密进行后续攻击。例如,攻击者构建了一个仿冒官网的钓鱼网站。在钓鱼邮件中,带上这个URL来诱导点击。知名购物网站、社交网站和银行网站通常是假冒网站的目标。图:伪装成银行的钓鱼网站图:伪装成苹果的钓鱼网站此外,攻击者还利用钓鱼邮件传播恶意软件或勒索软件并安装木马。例如勒索软件WannaCry,最初是通过钓鱼邮件传播,要求受害者点击下载,然后扫描局域网寻找易受攻击的主机并传播感染,最终导致全球范围内的大规模感染。二是鱼叉攻击。这是一种高级持续性威胁APT的渗透方式。攻击者针对特定的目标,有针对性地构造邮件,发送的目标也是经过选择的。这些电子邮件包含附件或恶意URL。受害者打开附件或点击链接后,木马就被植入并控制。通常以长期潜伏和窃取机密信息为目的。钓鱼邮件的防范钓鱼邮件的防范在实践中既需要技术手段,也需要提高员工的识别能力,两者都必须下苦功夫。技术措施:邮件来源认证措施使用安全信誉过滤邮件邮件沙箱分析过滤未知恶意附件和URL应用程序访问实施多重身份验证提高员工身份识别:持续的安全意识培训邮件钓鱼测试最终想法将时钟拨回37年1982年之前,RFC821定义了SMTP协议,即简单邮件协议的规范。虽然后来又增加了一些补充规范,但都是修修补补,这也是邮件安全问题一直存在的根本原因。只要人们使用此协议相互通信,网络钓鱼电子邮件的社会工程就会一直存在。技术检测和隔离,邮件来源认证可以过滤掉大部分钓鱼邮件。漏网者也需要对邮件收件人保持警惕。话又说回来,跟大家一起做钓鱼测试也不用丢人。相反,如果后面有真正的钓鱼邮件,也逃不过你的洞察力。【本文为专栏作者《NSFO科技博客》原创稿件,转载请联系原作者获得授权】点此查看该作者更多好文
