企業如何防范釣魚郵件選對郵件系統是關鍵

■朱榮

網絡釣魚相信大家都不會太陌生，隨著人們網絡安全意識的提升，網絡釣魚的手法也變得越來越高明。攻擊者的社工經驗愈加豐富，釣魚技術也愈加的先進和新穎。作為企業，通過技術手段似乎在一定程度上能保護員工免受大型釣魚攻擊的威脅，但這并不是解決問題的根本，更關鍵的是員工安全意識的加強和培養。

下面，我們的討論也將圍繞該話題展開。

網絡釣魚聽起來很容易，但大規模的釣魚活動策劃并不簡單。以下是成功運行內部釣魚郵件的一些提示和技巧。

網絡釣魚需要什么

第一、一個合理迫切的借口。借口是攻擊者用來誘導目標員工，以偽裝的合法請求或任務欺騙員工接收釣魚郵件的故事或詭計。

第二、有效的payload，執行惡意活動的重要組成部分。

第三、一個令人信服的釣魚網站、釣魚郵件可能會要求目標點擊鏈接，該鏈接會跳轉到攻擊者制作的假網站上，通常這些網站都是一些可信站點的副本，主要用來竊取目標的用戶名和密碼。

第四、成功發送釣魚郵件。如果電子郵件被發送到了目標的“垃圾郵件”或“垃圾”文件夾中，那么郵件將很可能不會被打開甚至是被忽略。因此想要成功執行釣魚攻擊，將郵件準確的發送到目標收件箱是非常重要的。

釣魚郵件解決方案

內部的網絡釣魚測試，對提升企業以及員工的安全意識有很大的幫助。由于是內部測試，因此資源的利用率和可信度都相對較高，這對企業和員工來說都是一場很好的安全檢驗。當然，讓外部承包商進行測試也有其好處。這樣，企業也更能從一個攻擊者的視角看到自身安全的不足之處。此外，外部測試也更加的公正和獨立，不易受到一些問題的限制和影響。總之，無論是內部還是第三方網絡釣魚評估，最重要的是培養員工的用戶意識，而不是單單的將責任歸咎于他們。只有這樣，企業的安全建設才能更加的完善和穩固。

鑒于釣魚郵件的特點，專家指出：網民最好避免使用簡單的賬戶和密碼，避免直接點擊電子郵件中的網絡鏈接，更不要輕易提供密碼、銀行賬號等私密信息，以免上當受騙。此外，為避免不必要的泄密或其他風險損失，企業、機構最好能夠采用高級別的郵箱防御系統，或者升級郵件防護機制，進一步提升郵件系統的安全性。