社會(huì)工(gōng)程攻擊經常通過人際交流的方式獲得信息,它綜合人類心理(lǐ)學、語言學、欺詐心理(lǐ)學等知(zhī)識,利用(yòng)人的性格弱點,如本能(néng)反應、好(hǎo)奇心、信任、貪婪等,通過欺騙等手段獲取自(zì)身利益。社會(huì)工(gōng)程中的釣魚郵件一直是不法分子使用(yòng)的重要手段,因爲它非常普遍,且成功率高(gāo),這(zhè)種方式使企業和(hé)個人損失了(le)大(dà)量金(jīn)錢(qián)和(hé)重要數據,已經成爲企業安全最大(dà)的威脅之一!
釣魚郵件攻擊日益普遍
Verizon 2021年數據洩露調查報(bào)告發現(xiàn),在所有數據洩露事(shì)件中有25%涉及網絡釣魚。Proofpoint 2022年網絡釣魚威脅狀态報(bào)告顯示,2021年有83%的企業成爲網絡釣魚攻擊的受害者。釣魚郵件攻擊如此普遍,關鍵在于釣魚郵件攻擊的高(gāo)成功率,這(zhè)種網絡攻擊很(hěn)容易被攻擊機器人反複複制和(hé)自(zì)動化。雖然許多人相信自(zì)己在收到(dào)一封網絡釣魚電子郵件時(shí)會(huì)識别出來(lái),但(dàn)事(shì)實是他(tā)們通常做不到(dào)。
釣魚郵件的防範
目前,有效防範網絡釣魚攻擊的方法是釣魚模拟演練。開(kāi)展定期或不定期全員或分部門(mén)的釣魚郵件模拟活動,能(néng)夠幫助企業和(hé)組織對(duì)内部人員進行針對(duì)性的安全意識培訓。
釣魚模拟演練的一般過程是通過向員工(gōng)分發釣魚郵件,對(duì)員工(gōng)進行體驗式、參與式、實戰性的模拟訓練,實景演練教導員工(gōng)如何識别、處置、防範釣魚攻擊。以谷安天下(xià)釣魚模拟演練系統爲例,該系統可以讓企業自(zì)行在後台查看(kàn)釣魚郵件的統計(jì)結果,追蹤點擊釣魚郵件的郵箱、時(shí)間等具體信息,爲企業開(kāi)展網絡安全意識教育提供有效的數據支撐。
圖1:模拟釣魚郵件示例
釣魚郵件通過模拟真實郵件來(lái)進行網絡攻擊,模拟釣魚演練則是通過模拟釣魚郵件讓人員實景學習釣魚郵件的防範要點。
具體包括:
1、如果郵件發件人賬戶名稱是某機構,但(dàn)地址欄中顯示的卻是個人賬号,如@163.com或者@qq.com,那麽就極有可能(néng)是一封釣魚郵件。同時(shí)檢查“收件人”及“抄送人”的地址欄。看(kàn)其發送的對(duì)象中是否有你(nǐ)不認識或者不和(hé)你(nǐ)在一起工(gōng)作(zuò)的人。
2、對(duì)使用(yòng)“親愛的用(yòng)戶”或者一些(xiē)泛化問候的郵件保持警惕。如果某個可信機構有必要聯系你(nǐ),他(tā)們應該會(huì)知(zhī)道(dào)你(nǐ)的名字和(hé)信息。同樣也(yě)要問問自(zì)己,該公司爲什(shén)麽會(huì)發郵件給你(nǐ)。
3、對(duì)任何制造緊急氛圍的郵件都要提高(gāo)警惕,如要求“請(qǐng)在今日下(xià)班前務必完成升級操作(zuò)”這(zhè)是讓人在慌忙之中犯錯的慣用(yòng)手段。
4、将鼠标放(fàng)在鏈接處,會(huì)顯示真實網址。如果顯示的真實網址與郵件中所列出的鏈接網址不同,這(zhè)就很(hěn)可能(néng)是一次釣魚攻擊。
5、對(duì)附件保持警惕,如内容包含文(wén)檔、圖片、壓縮包、腳本程序(exe、vbs、bat)等,在确認郵件可信之前一定不要點擊附件。
對(duì)企業而言,在選擇釣魚模拟演練系統時(shí),應該優先考慮系統是否具備以下(xià)指标和(hé)能(néng)力:
操作(zuò)簡單:操作(zuò)簡單,容易上(shàng)手,即便是新手用(yòng)戶也(yě)能(néng)很(hěn)快(kuài)适應。
真實模拟:發送郵箱可以做到(dào)100%真實模拟,不需要使用(yòng)真實郵箱環境,确保企業業務正常開(kāi)展。
秒速發送:發送郵件數量不受限制,發送時(shí)間不受限制,無需等待。
SaaS服務:無需本地部署,可快(kuài)速直接實現(xiàn)釣魚郵件攻擊測試。