■朱榮

網(wǎng)絡(luò)釣魚(yú)相信大家都不會(huì)太陌生，隨著人們網(wǎng)絡(luò)安全意識(shí)的提升，網(wǎng)絡(luò)釣魚(yú)的手法也變得越來(lái)越高明。攻擊者的社工經(jīng)驗(yàn)愈加豐富，釣魚(yú)技術(shù)也愈加的先進(jìn)和新穎。作為企業(yè)，通過(guò)技術(shù)手段似乎在一定程度上能保護(hù)員工免受大型釣魚(yú)攻擊的威脅，但這并不是解決問(wèn)題的根本，更關(guān)鍵的是員工安全意識(shí)的加強(qiáng)和培養(yǎng)。

下面，我們的討論也將圍繞該話題展開(kāi)。

網(wǎng)絡(luò)釣魚(yú)聽(tīng)起來(lái)很容易，但大規(guī)模的釣魚(yú)活動(dòng)策劃并不簡(jiǎn)單。以下是成功運(yùn)行內(nèi)部釣魚(yú)郵件的一些提示和技巧。

網(wǎng)絡(luò)釣魚(yú)需要什么

第一、一個(gè)合理迫切的借口。借口是攻擊者用來(lái)誘導(dǎo)目標(biāo)員工，以偽裝的合法請(qǐng)求或任務(wù)欺騙員工接收釣魚(yú)郵件的故事或詭計(jì)。

第二、有效的payload，執(zhí)行惡意活動(dòng)的重要組成部分。

第三、一個(gè)令人信服的釣魚(yú)網(wǎng)站、釣魚(yú)郵件可能會(huì)要求目標(biāo)點(diǎn)擊鏈接，該鏈接會(huì)跳轉(zhuǎn)到攻擊者制作的假網(wǎng)站上，通常這些網(wǎng)站都是一些可信站點(diǎn)的副本，主要用來(lái)竊取目標(biāo)的用戶名和密碼。

第四、成功發(fā)送釣魚(yú)郵件。如果電子郵件被發(fā)送到了目標(biāo)的“垃圾郵件”或“垃圾”文件夾中，那么郵件將很可能不會(huì)被打開(kāi)甚至是被忽略。因此想要成功執(zhí)行釣魚(yú)攻擊，將郵件準(zhǔn)確的發(fā)送到目標(biāo)收件箱是非常重要的。

釣魚(yú)郵件解決方案

內(nèi)部的網(wǎng)絡(luò)釣魚(yú)測(cè)試，對(duì)提升企業(yè)以及員工的安全意識(shí)有很大的幫助。由于是內(nèi)部測(cè)試，因此資源的利用率和可信度都相對(duì)較高，這對(duì)企業(yè)和員工來(lái)說(shuō)都是一場(chǎng)很好的安全檢驗(yàn)。當(dāng)然，讓外部承包商進(jìn)行測(cè)試也有其好處。這樣，企業(yè)也更能從一個(gè)攻擊者的視角看到自身安全的不足之處。此外，外部測(cè)試也更加的公正和獨(dú)立，不易受到一些問(wèn)題的限制和影響?？傊?，無(wú)論是內(nèi)部還是第三方網(wǎng)絡(luò)釣魚(yú)評(píng)估，最重要的是培養(yǎng)員工的用戶意識(shí)，而不是單單的將責(zé)任歸咎于他們。只有這樣，企業(yè)的安全建設(shè)才能更加的完善和穩(wěn)固。

鑒于釣魚(yú)郵件的特點(diǎn)，專家指出：網(wǎng)民最好避免使用簡(jiǎn)單的賬戶和密碼，避免直接點(diǎn)擊電子郵件中的網(wǎng)絡(luò)鏈接，更不要輕易提供密碼、銀行賬號(hào)等私密信息，以免上當(dāng)受騙。此外，為避免不必要的泄密或其他風(fēng)險(xiǎn)損失，企業(yè)、機(jī)構(gòu)最好能夠采用高級(jí)別的郵箱防御系統(tǒng)，或者升級(jí)郵件防護(hù)機(jī)制，進(jìn)一步提升郵件系統(tǒng)的安全性。