社区编辑申请
注册/登录
面对防不胜防的钓鱼邮件攻击,企业该如何防患于未然?
安全 新闻
Verizon 2021年数据泄露调查报告发现,在所有数据泄露事件中有25%涉及网络钓鱼。

社会工程攻击经常通过人际交流的方式获得信息,它综合人类心理学、语言学、欺诈心理学等知识,利用人的性格弱点,如本能反应、好奇心、信任、贪婪等,通过欺骗等手段获取自身利益。社会工程中的钓鱼邮件一直是不法分子使用的重要手段,因为它非常普遍,且成功率高,这种方式使企业和个人损失了大量金钱和重要数据,已经成为企业安全最大的威胁之一!

钓鱼邮件攻击日益普遍

Verizon 2021年数据泄露调查报告发现,在所有数据泄露事件中有25%涉及网络钓鱼。Proofpoint 2022年网络钓鱼威胁状态报告显示,2021年有83%的企业成为网络钓鱼攻击的受害者。钓鱼邮件攻击如此普遍,关键在于钓鱼邮件攻击的高成功率,这种网络攻击很容易被攻击机器人反复复制和自动化。虽然许多人相信自己在收到一封网络钓鱼电子邮件时会识别出来,但事实是他们通常做不到。

钓鱼邮件的防范

目前,有效防范网络钓鱼攻击的方法是钓鱼模拟演练。开展定期或不定期全员或分部门的钓鱼邮件模拟活动,能够帮助企业和组织对内部人员进行针对性的安全意识培训。

钓鱼模拟演练的一般过程是通过向员工分发钓鱼邮件,对员工进行体验式、参与式、实战性的模拟训练,实景演练教导员工如何识别、处置、防范钓鱼攻击。以谷安天下钓鱼模拟演练系统为例,该系统可以让企业自行在后台查看钓鱼邮件的统计结果,追踪点击钓鱼邮件的邮箱、时间等具体信息,为企业开展网络安全意识教育提供有效的数据支撑。

图1:模拟钓鱼邮件示例

钓鱼邮件通过模拟真实邮件来进行网络攻击,模拟钓鱼演练则是通过模拟钓鱼邮件让人员实景学习钓鱼邮件的防范要点。

具体包括:

1、如果邮件发件人账户名称是某机构,但地址栏中显示的却是个人账号,如@163.com或者@qq.com,那么就极有可能是一封钓鱼邮件。同时检查“收件人”及“抄送人”的地址栏。看其发送的对象中是否有你不认识或者不和你在一起工作的人。

2、对使用“亲爱的用户”或者一些泛化问候的邮件保持警惕。如果某个可信机构有必要联系你,他们应该会知道你的名字和信息。同样也要问问自己,该公司为什么会发邮件给你。

3、对任何制造紧急氛围的邮件都要提高警惕,如要求“请在今日下班前务必完成升级操作”这是让人在慌忙之中犯错的惯用手段。

4、将鼠标放在链接处,会显示真实网址。如果显示的真实网址与邮件中所列出的链接网址不同,这就很可能是一次钓鱼攻击。

5、对附件保持警惕,如内容包含文档、图片、压缩包、脚本程序(exe、vbs、bat)等,在确认邮件可信之前一定不要点击附件。

对企业而言,在选择钓鱼模拟演练系统时,应该优先考虑系统是否具备以下指标和能力

操作简单:操作简单,容易上手,即便是新手用户也能很快适应。

真实模拟:发送邮箱可以做到100%真实模拟,不需要使用真实邮箱环境,确保企业业务正常开展。

秒速发送:发送邮件数量不受限制,发送时间不受限制,无需等待。

SaaS服务:无需本地部署,可快速直接实现钓鱼邮件攻击测试。


责任编辑:张燕妮 来源: 安全牛
相关推荐

2021-10-03 15:50:06

2022-06-22 11:09:21

2022-06-16 15:42:16

攻击面管理ASM

2022-06-15 11:02:40

网络安全运营

2022-06-30 11:03:27

DDoS攻击WAF

2022-06-15 08:21:49

Linux运维工程师

2022-06-28 10:58:35

勒索软件攻击事件

2022-06-08 14:17:57

网络安全人工智能加密流量

2022-06-23 12:03:00

网络安全网络安全事故

2022-05-27 15:06:22

攻击面管理(ASM)网络安全运营

2022-06-09 14:35:07

网络钓鱼网络攻击

2022-05-11 10:42:03

区块链网络安全

2022-06-16 17:02:49

微软智能云混合云Azure

2022-06-06 00:25:09

Golangpanic死锁

2022-05-31 10:45:01

深度学习防御

2022-06-02 16:28:11

Telegram网络钓鱼帐户

2022-06-27 17:46:53

PythonFlask

2022-06-29 08:13:36

漏洞网络攻击网络安全

2022-04-15 06:27:00

恶意软件Emotet网络钓鱼

2022-05-24 15:22:09

网络安全企业风险

同话题下的热门内容

超低成本 DDoS 攻击来袭,看 WAF 如何绝地防护都怪二维码,造就了网友们的社死现场...2022年上半年五大勒索软件攻击事件谁家的加密密钥,写死在代码里?就因为QQ登录二维码,全网发生了大规模的社死黑客组织对印度政府发动了网络攻击如何最大限度提升智能建筑中的网络安全?监管机构禁令频发,谷歌将被禁止追踪数百万用户数据

编辑推荐

付费成人网站OnlyFans数百名创作者内容泄露,可能有你关注的YouTube博主2019年最近发现的网络安全事件权威解读 | 网络安全等级保护2.0标准体系以及主要标准2019年网络安全事件回顾(国际篇)2019年网络安全事件回顾(国内篇)
我收藏的内容
点赞
收藏

51CTO技术栈公众号