鱼叉式网络钓鱼是企业 IT 面临的一个日益严重的问题

传统上,网络钓鱼攻击以随机垃圾邮件为目标消费者,希望一小部分目标天真地安装恶意软件或交出登录详细信息。

但最近几个月,针对特定个人和组织的鱼叉式网络钓鱼变得越来越普遍。鱼叉式网络钓鱼尤其令人担忧,因为大多数公司没有培训计划来让高管和 IT 员工意识到危险或他们成为目标的迹象。

在典型的鱼叉式网络钓鱼攻击中,犯罪分子使用公开信息(通常是社交媒体和公司网站)研究目标公司。目的是发现公司中的某人作为目标和足够的背景知识,以使他们相信任何沟通的真实性。

例如,攻击者可能会向代表自己来自高级管理人员的低级别员工发送电子邮件。该电子邮件可能会要求将资金从一个帐户转移到另一个帐户,或者将登录详细信息转发给发件人。

鱼叉式网络钓鱼非常有效,因为当员工收到上级的指示时,他们更有可能遵守而不是以安全为由质疑请求。

鱼叉式网络钓鱼攻击的动机是潜在收益,但具体目标可能会有所不同,例如立即盗窃金钱、收集信息以进行进一步攻击,或者对组织发起高级持续威胁。

攻击者经常以低级别员工为目标,然后从初始访问点更深入地进入网络。据信,2014 年对索尼的攻击可能始于伪装成苹果通信的鱼叉式网络钓鱼电子邮件。

为了防止鱼叉式网络钓鱼攻击,至少应该让员工意识到任何对敏感数据的请求,无论它显然来自谁,都应该受到极端怀疑的对待。

假设系统管理员和开发人员更了解情况,培训不应仅限于非技术员工。许多鱼叉式网络钓鱼攻击以系统管理员为目标,因为高管通常会向 IT 部门请求 VPN 凭据等信息。

应该让员工意识到拒绝透露敏感信息不会损害他们的职业生涯。事实上,这种拒绝,即使来自真实的来源,也应该受到赞扬。

仅验证信息请求的电子邮件地址是否真实是不够的。 复杂的鱼叉式网络钓鱼攻击通常试图通过黑客攻击、社会工程和身份盗窃来接管高管的电子邮件帐户。 应该强调通过比电子邮件或即时聊天更不容易受到损害的渠道来验证真实性。

公司政策应明确说明安全优于便利,任何向未经验证的第三方提供敏感信息的人都将违反安全政策。

鱼叉式网络钓鱼尤其有害,因为它通常对原本受到良好保护的公司有效。 如果一个聪明的犯罪分子可以通过简单地请求获得所需的信息,他们就可以完全消除安全云平台的好处。