面对防不胜防的钓鱼邮件攻击,企业该如何防患于未然?

社会工程攻击经常通过人际交流的方式获得信息,它综合人类心理学、语言学、欺诈心理学等知识,利用人的性格弱点,如本能反应、好奇心、信任、贪婪等,通过欺骗等手段获取自身利益。社会工程中的钓鱼邮件一直是不法分子使用的重要手段,因为它非常普遍,且成功率高,这种方式使企业和个人损失了大量金钱和重要数据,已经成为企业安全最大的威胁之一!

钓鱼邮件攻击日益普遍

Verizon 2021年数据泄露调查报告发现,在所有数据泄露事件中有25%涉及网络钓鱼。Proofpoint 2022年网络钓鱼威胁状态报告显示,2021年有83%的企业成为网络钓鱼攻击的受害者。钓鱼邮件攻击如此普遍,关键在于钓鱼邮件攻击的高成功率,这种网络攻击很容易被攻击机器人反复复制和自动化。虽然许多人相信自己在收到一封网络钓鱼电子邮件时会识别出来,但事实是他们通常做不到。

钓鱼邮件的防范

目前,有效防范网络钓鱼攻击的方法是钓鱼模拟演练。开展定期或不定期全员或分部门的钓鱼邮件模拟活动,能够帮助企业和组织对内部人员进行针对性的安全意识培训。

钓鱼模拟演练的一般过程是通过向员工分发钓鱼邮件,对员工进行体验式、参与式、实战性的模拟训练,实景演练教导员工如何识别、处置、防范钓鱼攻击。以谷安天下钓鱼模拟演练系统为例,该系统可以让企业自行在后台查看钓鱼邮件的统计结果,追踪点击钓鱼邮件的邮箱、时间等具体信息,为企业开展网络安全意识教育提供有效的数据支撑。

图1:模拟钓鱼邮件示例

钓鱼邮件通过模拟真实邮件来进行网络攻击,模拟钓鱼演练则是通过模拟钓鱼邮件让人员实景学习钓鱼邮件的防范要点。

具体包括:

1、如果邮件发件人账户名称是某机构,但地址栏中显示的却是个人账号,如@163.com或者@qq.com,那么就极有可能是一封钓鱼邮件。同时检查“收件人”及“抄送人”的地址栏。看其发送的对象中是否有你不认识或者不和你在一起工作的人。

2、对使用“亲爱的用户”或者一些泛化问候的邮件保持警惕。如果某个可信机构有必要联系你,他们应该会知道你的名字和信息。同样也要问问自己,该公司为什么会发邮件给你。

3、对任何制造紧急氛围的邮件都要提高警惕,如要求“请在今日下班前务必完成升级操作”这是让人在慌忙之中犯错的惯用手段。

4、将鼠标放在链接处,会显示真实网址。如果显示的真实网址与邮件中所列出的链接网址不同,这就很可能是一次钓鱼攻击。

5、对附件保持警惕,如内容包含文档、图片、压缩包、脚本程序(exe、vbs、bat)等,在确认邮件可信之前一定不要点击附件。

对企业而言,在选择钓鱼模拟演练系统时,应该优先考虑系统是否具备以下指标和能力

操作简单:操作简单,容易上手,即便是新手用户也能很快适应。

真实模拟:发送邮箱可以做到100%真实模拟,不需要使用真实邮箱环境,确保企业业务正常开展。

秒速发送:发送邮件数量不受限制,发送时间不受限制,无需等待。

SaaS服务:无需本地部署,可快速直接实现钓鱼邮件攻击测试。

凡本网站转载的所有的文章、图片、音频、视频文件等资料的版权归版权所有人,如果您发现网站上有侵犯您的知识产权的作品,请与我们取得联系,我们会及时修改或删除。
推荐产品
PRODUCT
抗D云WAF,DDOS攻击,DDOS流量清洗,高防CDN,CDN防御服务器,CDN防护

抗D云WAF

下一代Web类业务DDoS防御服务,自研云甲DDoS清洗系统,DDoS清洗中心覆盖全球主要国家,千万级CC攻击防御能力,让您的业务固若金汤。

查看详情
云御游戏盾,游戏,游戏盾,直播高防cdn,游戏服务器多少钱,高防主机

云御游戏盾

专为在线游戏打造的终极DDoS防御服务,多种DDoS清洗算法和规则,端云联动,无损清洗DDoS攻击,Anycast近源清洗和加速网络保障游戏丝滑流畅。

查看详情

马上开启您的安全之旅

立即开启