就像互联网一样,多年来网络钓鱼也在不断发展。在2017年全球鱼叉式网络钓鱼报告中报告的537,000多个网络钓鱼威胁中,91%(490,557)包含显示名称欺骗的特征。显示名欺骗是指黑客冒充业务用户熟悉的人,以欺骗该用户,使其认为消息来自受信任的来源。这是一种非常有效的策略,尤其是对于每天都被传入的通信和流量淹没的员工来说。
发给商业用户的电子邮件被认为是有风险的
在这项研究中,直接欺骗是第二大最受欢迎的攻击类型(8%),而类似域名的攻击只占网络钓鱼攻击的不到1%。GreatHorn的报告发现,在发给企业用户的所有电子邮件中,有近1%包含一个或多个被认为存在风险的特定特征。考虑到员工发送和接收的电子邮件数量,有些人会认为这个数字很低,但实际上并不低。Radicati集团电子邮件统计公司2015-19年的一份报告显示,2015年,员工平均每天收到122封商业邮件,该报告显示,到2019年,这一数字预计还会增长。归根结底,普通用户每天至少会收到一封有风险的电子邮件,可以肯定的是,高管们会得到更多的关注。不幸的是,随着网络钓鱼攻击变得越来越普遍,公司现在把它们视为做生意的另一个危险。一开始有一种困惑和惊奇,现在已经变成了厌倦。当网络钓鱼攻击第一次发生时,人们感到恐惧和惊慌。现在,公司刚刚接受了它。但这是一个大错。由于过时的假设和非常昂贵的安全措施,成功的网络钓鱼攻击仍然比它们应该发生的要容易得多。不过,现在还不算太晚,因为事情往往可以迅速而简单地改变。
保护自己免受网络钓鱼
在Blueprint IT Security最近的一篇文章中,他们谈到了他们的客户如何经历了与行业中常见的攻击——从凭证网络钓鱼、商业电子邮件泄露和诱捕附件恶意软件。Blueprint继续阐述了勒索软件如何成为恶意软件网络钓鱼攻击的最大类别。你总是听到“警惕”电子邮件。但是,在某些时候,你需要打开电子邮件、附件或访问未知的网站。在他们最近的帖子中,Blueprint讨论了在尝试和钓鱼时最好的策略是什么。它们讲述了它们是如何分层的,包括许多重叠的保护,将技术和行为混合在一起。他们接着提出了一些建议,除了那些显而易见的建议之外,比如确保备份到位,系统已经打好补丁。其他防止网络钓鱼的方法有:禁用Office宏——第一种防御方法是完全禁用它们,或者只启用来自签名和可信来源的宏。
身份验证——这个想法最简单的实现是云服务使用的两步验证系统,但更复杂的双因素身份验证和单点登录也值得考虑。
基于域的认证、报告和一致性(DMARC)——这是一种机制,使得来自使用它的域的电子邮件很难被欺骗。它还可以保护公司及其客户免受冒充其品牌的攻击者的侵害。
加密——防止网络钓鱼的最好方法是对数据进行加密,这样数据内容就不会被勒索。
反网络钓鱼意识——这应该是中小企业以上级别的基本要求。在这个层面上不参与只会让公司只抱着最好的希望,这从来都不是一个好方法。正如您所看到的,网络钓鱼仍然是该国乃至世界各地的一个主要问题。而且,正如体育博彩平台推荐之前读到的“诈骗何时成为社会问题?”美国每月有13亿用户登录他们最喜欢的社交网站,黑客们正在撒开更大的网。由于网络钓鱼的威胁更高,意识培训背后的想法是为员工在测试网络钓鱼场景时可能被诱骗的程度设定基线,在几周或几个月后运行相同的测试时比较他们的行为。最好的方法似乎是从一个较长的训练阶段开始,在一年的时间里,每个月都进行短期的月度测试。