企業(yè)應(yīng)如何防止網(wǎng)絡(luò)釣魚

劉文艷

我們知道許多通過惡意軟件或系統(tǒng)漏洞來竊取密碼的技術(shù)方法，而其中最難抵御的方法之一就是讓用戶在不知情的狀況下主動披露自己的登錄憑證。

是的，這就是網(wǎng)絡(luò)釣魚。具體來說，網(wǎng)絡(luò)釣魚就是誘騙用戶訪問假冒的釣魚網(wǎng)站并將自己的登錄憑證輸入其中的一種手段。

我們經(jīng)常會看到假冒的Gmail或Dropbox電子郵件，而且大多數(shù)用戶都有能力判斷這些郵件屬于傳統(tǒng)的釣魚郵件。但是，一旦釣魚郵件涉及工作相關(guān)內(nèi)容或看似來自其他可信來源時，用戶便難以判斷其真?zhèn)巍?/p>

試想一下，如果你收到一封自稱為企業(yè)IT部門的電子郵件，內(nèi)容為邀請用戶登錄新的人力資源系統(tǒng)。而企業(yè)又具備非常正規(guī)的溝通方式和渠道，那么這種通知方式就不免顯得十分奇怪。

但是，如果情況并非如此，該電子郵件可能會提示用戶點擊鏈接，而且如果該釣魚網(wǎng)站看起來足夠有說服力的話，信任的用戶甚至可能會輸入自己的登錄憑證，這樣的話，攻擊者的惡意目的就達成了。

那么企業(yè)應(yīng)該如何防范這種網(wǎng)絡(luò)釣魚方式呢？

最好的防御措施之一就是盡可能地實施雙因子身份認證。如果登錄證書被盜用，攻擊者在利用這些證書之前還需要第二個認證因素。這種措施無法阻止攻擊者竊取登錄憑證，但是能夠有效地阻止攻擊者成功利用這些獲取到的憑證。

另一個重要的防御措施就是對用戶進行安全培訓。

對用戶進行培訓能夠加深用戶對網(wǎng)絡(luò)釣魚技能的認知，以便識別釣魚行為。此外，還能使安全團隊從用戶行為（可能被技術(shù)人員認為是理所當然的行為）中學習到有價值的見解。

例如，用戶可能會習慣假設(shè)公司系統(tǒng)已經(jīng)對電子郵件進行了過濾，以防止任何惡意郵件通過，但是這種假設(shè)是錯誤的。無論多么高質(zhì)量的電子郵件保護措施，都可能會無法避免地“放過”一些惡意電子郵件，對于惡意網(wǎng)站也是如此。用戶可能會理所當然地認為有保護措施已經(jīng)對惡意網(wǎng)站進行了過濾，但是即便是最好的網(wǎng)頁過濾工具也可能會漏過少數(shù)的惡意網(wǎng)站。一旦用戶能夠了解到，任何安全工具無法完全保障百分百地阻止所有的惡意電子郵件或站點，他們才有可能形成一種高度的責任感，來幫助維護組織的網(wǎng)絡(luò)安全。

此外，用戶能夠了解攻擊者可以輕松地建立一個釣魚網(wǎng)站也是非常重要的。

對攻擊者而言，建立一個包含登錄表單、標題和公司logo的網(wǎng)站是一件非常簡單的事情。此外，攻擊者還可以輕松地克隆任何公開可用的網(wǎng)頁（甚至是您公司的網(wǎng)頁），并注冊一個類似的域名來迷惑用戶。更重要的是，攻擊者還可以獲得免費的證書來顯示鎖定圖標，該圖標只意味著該網(wǎng)站的URL與證書相匹配，且其流量已被加密，但這并不能保證用戶的安全。

用戶是安全等式成立的重要組成部分。因此，重視用戶培訓使其能夠做出正確和安全的選擇，樹立企業(yè)安全意識文化將幫助企業(yè)在安全態(tài)勢中獲取重大成功。