你可能對網(wǎng)絡釣魚很熟悉，這是一種常見的社交工程詐騙形式，詐騙者試圖通過電子郵件或其他數(shù)字手段獲取其目標的信任。通過數(shù)字化偽裝成一個可信的第三方，詐騙者試圖從受害者身上提取個人信息，比如密碼、銀行賬號和信用卡號碼。網(wǎng)絡釣魚也是一種特別有效的將機器人程序或惡意軟件植入企業(yè)網(wǎng)絡的方法。

雖然你可能認為只有傻瓜才會落入釣魚策略的陷阱，但不妨考慮一下：網(wǎng)絡釣魚攻擊是 2017年最嚴重的惡意軟件傳輸機制之一。每年，企業(yè)由于網(wǎng)絡釣魚攻擊導致的損失高達5億美元。

網(wǎng)絡釣魚如此成功的部分原因在于這些信息與上下文相關。例如，你可能在這個月收到了不少主題為“新年”的釣魚郵件及向你承諾好得令人難以置信的“世紀交易”。借用逼真的事件和主題，網(wǎng)絡釣魚攻擊常常可以隱藏形跡。與此同時,這種防范意識的缺乏是成問題的—往小了說，會對電子郵件個人用戶產(chǎn)生不利影響。而當網(wǎng)絡釣魚在公司層面上取得成功時，這將是災難性的。

魚叉式網(wǎng)絡釣魚

網(wǎng)絡釣魚本身可能會造成相當大的損失，但同魚叉式網(wǎng)絡釣魚比起來，就是小巫見大巫了。攻擊者可能會發(fā)送數(shù)以百萬計的通用網(wǎng)絡釣魚電子郵件,而魚叉式網(wǎng)絡釣魚則是將特定的個人或公司作為專門攻擊對象。通常，其攻擊對象包括某個 CEO、CFO，或某些有權限進入金融或極度敏感系統(tǒng)的人員。

一旦遭到魚叉式網(wǎng)絡釣魚的攻擊，后果是相當嚴重的，其會導致大量數(shù)據(jù)遭到破壞，受害者包括了美國塔吉特公司、索尼和美國民主黨全國委員會。即使是 Facebook 和谷歌也經(jīng)歷過未經(jīng)證實的網(wǎng)絡釣魚事件。顯然，這不是一個能快速消除的安全問題，因此，各個組織機構(gòu)必須加以提防，制定出一套可以解決這一問題的行動計劃。

認識到這一點，您可以采取哪些措施來防止用戶成為釣魚網(wǎng)站的受害者呢？

終端用戶教育——首先，忘掉安全意識。在應對新型攻擊性的網(wǎng)絡釣魚技術時，陳舊的意識范式是根本行不通的。當面對網(wǎng)絡釣魚時，您需要的是接受終端用戶教育。這是一個解決該問題更有力和更正規(guī)的方法。對于堅定不移地針對貴組織的網(wǎng)絡騙子，僅僅使用一張 PPT 幻燈片是不足以抵御的。用戶只有接受教育，才能真正深入地了解網(wǎng)絡釣魚的威脅。進而懂得如何避免陷入網(wǎng)絡釣魚的威脅。培訓用戶不要點擊看似合法的鏈接，這些鏈接只是表面上像是已知零售商、銀行和支付網(wǎng)站的鏈接網(wǎng)址。并且，教導用戶要手動輸入網(wǎng)站地址，或使用受到信任的書簽。此外，還要向用戶展示如何識別隱藏在欺騙性極強的網(wǎng)絡釣魚手段與惡意電子郵件身后的不可靠和危險的網(wǎng)站鏈接和域名。

針對首席X官的密集培訓——復雜的社交工程、高效的數(shù)據(jù)偵察、軟件攻擊和有針對性的魚叉式網(wǎng)絡釣魚攻擊是攻擊組織常用且行之有效的策略。雖然可以大范圍地或通過在線培訓的方式對終端用戶進行培訓，但每位首席X官（例如首席執(zhí)行官、首席財政官等）或高級管理人員，以及任何有權限進入會計和財務系統(tǒng)的人員，都必須接受個性化、實用性的教育培訓，從而學會如何識別和回避網(wǎng)絡釣魚攻擊。因為這些人都是最復雜和欺騙性最強的魚叉式網(wǎng)絡釣魚攻擊的高發(fā)對象，因而這些人應接受相應的嚴格培訓。

軟件和硬件解決方案——諸如防病毒軟件、防火墻（包括外圍和個人防火墻）、電子郵件和垃圾郵件網(wǎng)關等解決方案旨在通過阻止可疑流量、文件甚至無文件威脅進入您的網(wǎng)絡和端點來防止大多數(shù)攻擊。雖然現(xiàn)在還沒有任何已知科技可以對每一次攻擊進行檢測和預防，但正確的設置確實可以對阻止釣魚者起到很大的幫助。

實行分層防御——在整個組織中放置多層安全控制，以確保任何單點故障都不會將網(wǎng)絡暴露在大規(guī)模的攻擊之下。先進科技比如遠程瀏覽器隔離,甚至可以主動隱藏端點，防止?jié)撛诘臑g覽器威脅，從而防止釣魚者和其他網(wǎng)絡犯罪分子通過這種常見的威脅載體侵入網(wǎng)站內(nèi)部。

在對用戶（和您自己?。┻M行網(wǎng)絡釣魚威脅識別和避免的培訓上是沒有捷徑可以走的。但是不要恐慌：雖然沒有任何單一解決方案是完全萬無一失的，但多種安全控制措施的組合以及全面的安全教育和意識,可以讓您的組織在面對不斷變化的攻擊方法時保持安全。