引言：很多企業(yè)員工都收到過(guò)類似這樣的郵件：要求其快速行動(dòng)，并提供用戶名和口令，或者通過(guò)一個(gè)看似合法的（但本質(zhì)是欺詐性的）網(wǎng)站索要其生日等信息，而且目的是為了驗(yàn)證用戶身份。人們的直覺(jué)就是單擊郵件中的鏈接，或者打開(kāi)附件，解決問(wèn)題。事實(shí)上，這種郵件應(yīng)當(dāng)引起收件人的警覺(jué)，因?yàn)樗锌赡芫褪轻烎~攻擊。

很多企業(yè)員工都收到過(guò)類似這樣的郵件：要求其快速行動(dòng)，并提供用戶名和口令，或者通過(guò)一個(gè)看似合法的（但本質(zhì)是欺詐性的）網(wǎng)站索要其生日等信息，而且目的是為了驗(yàn)證用戶身份。還有，有的雇員會(huì)收到一個(gè)請(qǐng)求，要求其更新銀行賬戶的細(xì)節(jié)，因?yàn)槠滟~戶遭到了攻擊；否則，系統(tǒng)會(huì)關(guān)閉其賬號(hào)。

人們的直覺(jué)就是單擊郵件中的鏈接，或者打開(kāi)附件，解決問(wèn)題。事實(shí)上，這種郵件應(yīng)當(dāng)引起收件人的警覺(jué)，因?yàn)樗锌赡芫褪轻烎~攻擊。

釣魚攻擊與魚叉式網(wǎng)絡(luò)釣魚

釣魚攻擊是網(wǎng)絡(luò)罪犯吸引用戶泄露個(gè)人信息的一種技術(shù)，網(wǎng)絡(luò)罪犯也可以將這種伎倆用于虛假網(wǎng)站。釣魚者的目標(biāo)是訪問(wèn)網(wǎng)絡(luò)中的敏感信息。這種攻擊往往使用僵尸網(wǎng)絡(luò)來(lái)傳播給大量雇員，即使僅有其中的一個(gè)人單擊了鏈接，也可以泄露敏感數(shù)據(jù)，或者在受害者電腦上安裝惡意軟件，使犯罪者可以坐收漁利。

有時(shí)這種攻擊專門針對(duì)企業(yè)內(nèi)部特定的個(gè)人或幾個(gè)人?；蛘咂涔魧?duì)象并非一般個(gè)人，而是特定公司的成員，所以，被竊取的信息并不同于一般網(wǎng)絡(luò)釣魚所竊取的個(gè)人資料，而是具有高度敏感性的資料，如知識(shí)產(chǎn)權(quán)及商業(yè)機(jī)密。這種攻擊就是魚叉式網(wǎng)絡(luò)釣魚。

魚叉式網(wǎng)絡(luò)釣魚可能更難以檢測(cè)和識(shí)別，因?yàn)槠湔T餌是定制的和個(gè)性化的，看起來(lái)甚至很合法和合理。這種攻擊可能來(lái)自即時(shí)消息、社交網(wǎng)絡(luò)，或是電子通信的其它形式。

潛在的受害者往往相信這些郵件就是來(lái)自可靠的機(jī)構(gòu)，并且愿意提供個(gè)人信息，而不去進(jìn)一步探究為什么自己會(huì)被要求提供這些信息。郵件看似來(lái)自可信任的源頭，但其實(shí)際上是設(shè)計(jì)來(lái)欺騙接收者泄露敏感信息（信用卡號(hào)、SSN、PIN等）。

依據(jù)魚叉式網(wǎng)絡(luò)釣魚的范圍不同，罪犯可能花費(fèi)大量時(shí)間來(lái)創(chuàng)建郵件，其使用的都是真實(shí)姓名等信息。攻擊者還可能創(chuàng)建欺詐性網(wǎng)站以作為誘餌。

如何防范魚叉式網(wǎng)絡(luò)釣魚

防火墻和惡意軟件掃描有助于對(duì)付魚叉式網(wǎng)絡(luò)釣魚。系統(tǒng)管理員可以使用工具來(lái)識(shí)別可疑通信，并且阻止雇員在網(wǎng)絡(luò)上使用社交媒體，在釣魚攻擊成功實(shí)施之前就阻止它。但是，技術(shù)方案并不能完全阻止魚叉式釣魚攻擊，而只能在一定程度上識(shí)別有惡意目的的電子郵件。

魚叉式網(wǎng)絡(luò)釣魚的成功依靠的是找到公司網(wǎng)絡(luò)中最薄弱的環(huán)節(jié)，例如，輕信電子郵件的一個(gè)雇員。因?yàn)檫@種攻擊的靶子就是用戶，用戶正是公司防御的第一道防線。安全意識(shí)培訓(xùn)就是對(duì)付這種攻擊的最佳防御。用戶們?cè)嚼斫怙L(fēng)險(xiǎn)，就越有可能避免做出沖動(dòng)的行為，避免泄露機(jī)密信息，也就能夠更好地評(píng)估每一個(gè)要求。

企業(yè)還需要對(duì)經(jīng)理和高級(jí)官員進(jìn)行培訓(xùn)，因?yàn)檫@些人往往是魚叉式釣魚攻擊的主要目標(biāo)。用知識(shí)武裝公司的雇員有可能無(wú)法完全阻止魚叉式釣魚，但卻有助于減少其可能性。

大量的對(duì)企業(yè)網(wǎng)絡(luò)的攻擊都是由于成功實(shí)施魚叉式釣魚的結(jié)果。用知識(shí)來(lái)武裝雇員從而識(shí)別多數(shù)攻擊有助于強(qiáng)化公司的安全。得到良好培訓(xùn)的團(tuán)隊(duì)可以更容易識(shí)別魚叉式釣魚電子郵件、網(wǎng)站等可疑行為。培訓(xùn)應(yīng)使雇員們理解魚叉式釣魚的類型，以及相關(guān)風(fēng)險(xiǎn)和如何正確的解決和應(yīng)對(duì)攻擊。