社会工程攻击经常通过人际交流的方式获得信息,它综合人类心理学、语言学、欺诈心理学等知识,利用人的性格弱点,如本能反应、好奇心、信任、贪婪等,通过欺骗等手段获取自身利益。社会工程中的钓鱼邮件一直是不法分子使用的重要手段,因为它非常普遍,且成功率高,这种方式使企业和个人损失了大量金钱和重要数据,已经成为企业安全最大的威胁之一!
钓鱼邮件攻击日益普遍
Verizon 2021年数据泄露调查报告发现,在所有数据泄露事件中有25%涉及网络钓鱼。Proofpoint 2022年网络钓鱼威胁状态报告显示,2021年有83%的企业成为网络钓鱼攻击的受害者。钓鱼邮件攻击如此普遍,关键在于钓鱼邮件攻击的高成功率,这种网络攻击很容易被攻击机器人反复复制和自动化。虽然许多人相信自己在收到一封网络钓鱼电子邮件时会识别出来,但事实是他们通常做不到。
钓鱼邮件的防范
目前,有效防范网络钓鱼攻击的方法是钓鱼模拟演练。开展定期或不定期全员或分部门的钓鱼邮件模拟活动,能够帮助企业和组织对内部人员进行针对性的安全意识培训。
钓鱼模拟演练的一般过程是通过向员工分发钓鱼邮件,对员工进行体验式、参与式、实战性的模拟训练,实景演练教导员工如何识别、处置、防范钓鱼攻击。以谷安天下钓鱼模拟演练系统为例,该系统可以让企业自行在后台查看钓鱼邮件的统计结果,追踪点击钓鱼邮件的邮箱、时间等具体信息,为企业开展网络安全意识教育提供有效的数据支撑。
图1:模拟钓鱼邮件示例
钓鱼邮件通过模拟真实邮件来进行网络攻击,模拟钓鱼演练则是通过模拟钓鱼邮件让人员实景学习钓鱼邮件的防范要点。
具体包括:
1、如果邮件发件人账户名称是某机构,但地址栏中显示的却是个人账号,如@163.com或者@qq.com,那么就极有可能是一封钓鱼邮件。同时检查“收件人”及“抄送人”的地址栏。看其发送的对象中是否有你不认识或者不和你在一起工作的人。
2、对使用“亲爱的用户”或者一些泛化问候的邮件保持警惕。如果某个可信机构有必要联系你,他们应该会知道你的名字和信息。同样也要问问自己,该公司为什么会发邮件给你。
3、对任何制造紧急氛围的邮件都要提高警惕,如要求“请在今日下班前务必完成升级操作”这是让人在慌忙之中犯错的惯用手段。
4、将鼠标放在链接处,会显示真实网址。如果显示的真实网址与邮件中所列出的链接网址不同,这就很可能是一次钓鱼攻击。
5、对附件保持警惕,如内容包含文档、图片、压缩包、脚本程序(exe、vbs、bat)等,在确认邮件可信之前一定不要点击附件。
对企业而言,在选择钓鱼模拟演练系统时,应该优先考虑系统是否具备以下指标和能力:
操作简单:操作简单,容易上手,即便是新手用户也能很快适应。
真实模拟:发送邮箱可以做到100%真实模拟,不需要使用真实邮箱环境,确保企业业务正常开展。
秒速发送:发送邮件数量不受限制,发送时间不受限制,无需等待。
SaaS服务:无需本地部署,可快速直接实现钓鱼邮件攻击测试。