如何防范魚叉式網絡釣魚

引言：很多企業員工都收到過類似這樣的郵件：要求其快速行動，并提供用戶名和口令，或者通過一個看似合法的（但本質是欺詐性的）網站索要其生日等信息，而且目的是為了驗證用戶身份。人們的直覺就是單擊郵件中的鏈接，或者打開附件，解決問題。事實上，這種郵件應當引起收件人的警覺，因為它有可能就是釣魚攻擊。

很多企業員工都收到過類似這樣的郵件：要求其快速行動，并提供用戶名和口令，或者通過一個看似合法的（但本質是欺詐性的）網站索要其生日等信息，而且目的是為了驗證用戶身份。還有，有的雇員會收到一個請求，要求其更新銀行賬戶的細節，因為其賬戶遭到了攻擊；否則，系統會關閉其賬號。

人們的直覺就是單擊郵件中的鏈接，或者打開附件，解決問題。事實上，這種郵件應當引起收件人的警覺，因為它有可能就是釣魚攻擊。

釣魚攻擊與魚叉式網絡釣魚

釣魚攻擊是網絡罪犯吸引用戶泄露個人信息的一種技術，網絡罪犯也可以將這種伎倆用于虛假網站。釣魚者的目標是訪問網絡中的敏感信息。這種攻擊往往使用僵尸網絡來傳播給大量雇員，即使僅有其中的一個人單擊了鏈接，也可以泄露敏感數據，或者在受害者電腦上安裝惡意軟件，使犯罪者可以坐收漁利。

有時這種攻擊專門針對企業內部特定的個人或幾個人。或者其攻擊對象并非一般個人，而是特定公司的成員，所以，被竊取的信息并不同于一般網絡釣魚所竊取的個人資料，而是具有高度敏感性的資料，如知識產權及商業機密。這種攻擊就是魚叉式網絡釣魚。

魚叉式網絡釣魚可能更難以檢測和識別，因為其誘餌是定制的和個性化的，看起來甚至很合法和合理。這種攻擊可能來自即時消息、社交網絡，或是電子通信的其它形式。

潛在的受害者往往相信這些郵件就是來自可靠的機構，并且愿意提供個人信息，而不去進一步探究為什么自己會被要求提供這些信息。郵件看似來自可信任的源頭，但其實際上是設計來欺騙接收者泄露敏感信息（信用卡號、SSN、PIN等）。

依據魚叉式網絡釣魚的范圍不同，罪犯可能花費大量時間來創建郵件，其使用的都是真實姓名等信息。攻擊者還可能創建欺詐性網站以作為誘餌。

如何防范魚叉式網絡釣魚

防火墻和惡意軟件掃描有助于對付魚叉式網絡釣魚。系統管理員可以使用工具來識別可疑通信，并且阻止雇員在網絡上使用社交媒體，在釣魚攻擊成功實施之前就阻止它。但是，技術方案并不能完全阻止魚叉式釣魚攻擊，而只能在一定程度上識別有惡意目的的電子郵件。

魚叉式網絡釣魚的成功依靠的是找到公司網絡中最薄弱的環節，例如，輕信電子郵件的一個雇員。因為這種攻擊的靶子就是用戶，用戶正是公司防御的第一道防線。安全意識培訓就是對付這種攻擊的最佳防御。用戶們越理解風險，就越有可能避免做出沖動的行為，避免泄露機密信息，也就能夠更好地評估每一個要求。

企業還需要對經理和高級官員進行培訓，因為這些人往往是魚叉式釣魚攻擊的主要目標。用知識武裝公司的雇員有可能無法完全阻止魚叉式釣魚，但卻有助于減少其可能性。

大量的對企業網絡的攻擊都是由于成功實施魚叉式釣魚的結果。用知識來武裝雇員從而識別多數攻擊有助于強化公司的安全。得到良好培訓的團隊可以更容易識別魚叉式釣魚電子郵件、網站等可疑行為。培訓應使雇員們理解魚叉式釣魚的類型，以及相關風險和如何正確的解決和應對攻擊。