社会工程攻击往往通过人际交往获取信息。它综合了人类心理学、语言学、诈骗心理学等知识,利用人的本能反应、好奇、信任、贪婪等性格弱点,通过欺骗等手段获取自己的利益。社会工程中的钓鱼邮件一直是不法分子使用的重要手段,因为它非常普遍且成功率很高。这种方式导致企业和个人损失大量资金和重要数据,已经成为企业安全的最大威胁之一!网络钓鱼电子邮件攻击越来越普遍Verizon的2021年数据泄露调查报告发现,所有数据泄露中有25%涉及网络钓鱼。Proofpoint的《2022年钓鱼威胁状况报告》显示,2021年将有83%的企业成为钓鱼攻击的受害者。钓鱼邮件攻击盛行的关键在于钓鱼邮件攻击的高成功率。这种类型的网络攻击很容易被攻击机器人复制和自动化。虽然许多人认为他们在收到网络钓鱼电子邮件时会认出它,但事实是他们通常不会。钓鱼邮件防范目前,防范钓鱼邮件攻击的有效方法是钓鱼模拟演练。对所有员工或部门进行定期或不定期的钓鱼邮件模拟活动,可以帮助企业和组织对内部人员进行有针对性的安全意识培训。钓鱼模拟演练的一般流程是向员工分发钓鱼邮件,对员工进行体验式、参与式、实战性的模拟训练。真实世界的演练教会员工如何识别、处理和预防网络钓鱼攻击。以固安天下钓鱼模拟演练系统为例。该系统可让企业在后台查看钓鱼邮件的统计结果,跟踪钓鱼邮件的邮箱、点击时间等具体信息,为企业开展网络安全意识教育提供有效的数据支持。.图1:模拟钓鱼邮件示例钓鱼邮件模拟真实邮件进行网络攻击,模拟钓鱼演练让人员通过模拟钓鱼邮件学习防范钓鱼邮件的要点。具体包括:1、如果发件人的账号名称是单位,但地址栏显示的是个人账号,如@163.com或@qq.com,则很有可能是钓鱼邮件。还要检查“收件人”和“抄送”地址字段。看看他们派的人中有没有你不认识的人,或者不是和你一起工作的人。2.警惕使用“尊敬的用户”或一些一般性问候语的电子邮件。如果受信任的机构有必要与您联系,他们应该知道您的姓名和信息。还要问问自己为什么公司要给你发邮件。3.警惕任何营造紧急气氛的电子邮件。例如,询问“请在今天下班前完成升级操作”是人们匆忙犯错误的常见方式。4.将鼠标放在链接上,会显示真实的网址。如果显示的实际URL与电子邮件中列出的链接不同,这很可能是网络钓鱼攻击。5、警惕附件,如文件、图片、压缩包、脚本程序(exe、vbs、bat)等,在确认邮件可信之前不要点击附件。对于企业来说,在选择钓鱼模拟演练系统时,应优先考虑系统是否具备以下指标和能力:操作简单:操作简单,使用方便,即使是新手也能很快适应。逼真模拟:发送邮件可100%逼真模拟,无需使用真实邮箱环境,保障企业业务正常开展。秒速发送:发送邮件数量不限,发送时间不限,无需等待。SaaS服务:无需本地部署,可快速直接实现钓鱼邮件攻击测试。
