员工只需点击一下,就可能在不知不觉中成为网络钓鱼攻击的牺牲品. 一个小小的点击可以动摇你的业务基础的核心. 毕竟,在美国,单次数据泄露的平均成本.S. 2019年是 $3.9200万年. 根据最近的一份报告,网络钓鱼攻击占这些违规行为的32% 报告 在威瑞森.

这取决于你的公司 教育你的员工 关于如何识别恶意电子邮件. 在本文中,我们将分享保护员工免受网络钓鱼攻击的五种方法.

什么是网络钓鱼?

网络钓鱼是一种网络安全攻击,黑客发送带有看似合法但旨在窃取信息的链接或文档的电子邮件. 网络钓鱼邮件看起来好像是来自可信来源(例如.g.(你的银行,另一个员工,一家知名公司). 一旦有人点击了恶意链接或附件, 然而, 他或她将被提示输入机密信息. 该链接还可能将恶意软件下载到员工的设备上. 员工可以在不知道发生了什么事情的情况下,向黑客提供他们需要的东西,从而获得访问公司重要账户的权限.

网络钓鱼的种类

网络钓鱼可以以不同的形式出现,从一般的到高度针对性的. 为了正确地响应网络钓鱼攻击,了解它们之间的区别非常重要. 以下是网络钓鱼攻击的四种主要类型,并简要描述了每种攻击的目标.

  • 网络钓鱼-通过电子邮件欺骗用户获取敏感信息的一般尝试.
  • Vishing-给实体打陌生电话, 试图欺骗电话接收者执行某些操作.
  • 鱼叉式网络钓鱼-针对组织内特定个人或团体的针对性网络钓鱼, 哪些尝试是个性化的,以增加可信度.
  • 捕鲸-高度针对性的尝试, 使用电子邮件作为沟通媒介,从组织内的高价值个人那里收集敏感信息.

鱼的解剖

网络钓鱼攻击是通过电子邮件进行的网络犯罪, 电话, 或者短信, 通常由网络犯罪分子冒充机构或受信任的人来欺骗个人提供个人信息, 银行或信用卡的详细信息, 以及其他类型的敏感数据. 网络犯罪分子利用这些敏感数据访问银行账户并窃取身份. 以下是对网络钓鱼攻击的简要概述,以及IT可以做些什么来帮助预防, 检测, 并对网络钓鱼活动做出回应.

考虑到一个高层次的概述, 在无情地转向获取敏感数据之前,最好关注威胁行为者如何在公司系统中获得最初的立足点. 当考虑到这个最初的立足点, 下面的方法概述了一些可以演示该过程如何工作的步骤. 演示文稿(在本页的右栏下载)强调了每个步骤所涉及的具体细节.

  • 调查公司-对假公司进行初步研究,了解组织结构, 业务驱动因素, 供应商, 员工的社交媒体内容, 以及其他信息库.
  • 获取邮件列表-当公司信息已知时, 还有一些很好的网络钓鱼方法, 是时候收集公开的电子邮件了, 除了“混淆”(见下文)已知的员工姓名.
  • 确定邮件应该从哪里发出-了解公司情况, 内部人员, 还有一份邮件列表, 下一步是弄清楚电子邮件应该从哪里发出. 这可能涉及购买一个类似于假公司的域名或与该公司相关的其他业务.
  • 如何管理域名-篡改域名是钓鱼者常用的一种技术,当他们想让他们的信息看起来像是来自某个特定公司的人时,他们会使用这种技术. 可以使用多种工具来执行对域的修改,并且包含一个已知的错误输入域的方法列表, 同时保持与原始域的相似.
  • 制定你希望网络钓鱼目标做什么-常见的方法是克隆一个熟悉的网站,类似于用户将认证的假公司登录门户网站, 或者开发一个带有恶意软件的文档,公司内部的人可能会打开它.

如何保护您的员工免受网络钓鱼攻击

1. 进行全公司范围的网络安全培训.

员工安全意识 你对网络钓鱼攻击的主要防御是什么. 创建强制性的全公司范围的安全培训对保护公司的数据大有帮助. 将此培训纳入您的入职程序,并定期安排进修课程.

请记住,安全教育不一定是无聊或正式的. 如果你能找到让员工参与进来的方法,你的项目就会更有效. 如果他们认为这个练习是强制性的,他们需要“完成”,你的教训将被置若罔闻.

培训应该涵盖最佳实践,但你不应该止步于此. 确保你的员工知道如果他们注意到可疑的事情该怎么做,以及采取什么步骤来提醒管理层注意这个问题.

2. 教员工如何识别网络钓鱼邮件(并对他们进行测试).

保护员工免受网络钓鱼攻击的最关键因素是教他们如何快速识别网络钓鱼邮件. 因为黑客使用真实的公司标志,并添加一些小细节,使他们的电子邮件看起来合法, 如果你不知道自己在寻找什么,就很难发现危险信号.

以下是识别网络钓鱼邮件的几个要素:

  • 拼写错误和糟糕的格式. 不像合法公司, 网络罪犯很可能没有专门的写手来编写他们的电子邮件. 如果你注意到明显的错别字或不清楚的文本片段,这是一个提示.
  • 没有特别的问候. 如果信息似乎是通用的(i.e., 这封邮件没有提到你的名字或任何身份信息), 这可能是网络钓鱼邮件的信号. 黑客通常不会花时间对电子邮件进行个性化设置. 相反,他们会用同一种方式撒一张大网,希望有人上钩.
  • 无域名邮箱. 检查发件人的电子邮件地址,以确定其是否来自合法来源. 一个信誉良好的公司将拥有他们的域名电子邮件(如.g., example@linkedin.. Com),而冒名顶替者会更改地址(例如.g., example@linkedin123.Com),如果他们甚至努力使地址看起来是真实的.
  • 未经请求的附件或信息请求. 合法的公司不会发送你没有要求的附件, 他们也不会通过电子邮件索要敏感信息.

在培训中加入小测验来测试员工的技能. 给他们看一些电子邮件的例子,让他们辨别邮件的真实性. 这个测验是一个很好的机会,可以为你的安全教育增加一个吸引人的元素. 例如, 把它当作一个游戏,并表彰那些回答正确或参与热情最高的员工.

3. 展示由网络钓鱼引起的数据泄露的真实例子.

帮助员工了解你面临的困难, 展示那些遭受经济危机的公司的真实例子 数据泄露 因为一封网络钓鱼邮件. 你的员工将从原始数据中学到最有力的教训:损失的美元, 影响的人们, 对公司的损害, 以及其他有形的事实.

它是n’t that your employees don’t care about the company’s security; 然而, 没有看到什么 实际上 有时候,他们可能会觉得这种培训更像是一种形式,而不是必要的.

4. 使用可信的杀毒软件,并确保定期更新.

  • 错误发生. 即使受过良好的安全培训,员工也可能不小心被网络钓鱼邮件所欺骗. 如果发生这种情况,你需要在你的设备上安装一个强大的防病毒软件.
  • 请记住,防病毒不是一个设置后就忘记的解决方案. 始终确保您的软件更新并以最佳状态运行. Your IT department or service provider should keep an eye on antivirus for all your company’s devices; 然而, 考虑一下如果有些员工使用他们的个人设备, 你的IT团队也需要确保这些设备受到保护.

5. 确保管理人员参与到你的安全计划中.

许多安全程序中的漏洞经常发生在高层管理人员身上. 尽管这些是安排安全培训的团队, 他们也经常被排除在培训之外. 假设他们不需要它,或者他们有更紧迫的问题要关注.

没有接受过安全培训的高管对任何公司来说都是极大的负担. 因为他们有接触机密数据的最高权限, 黑客会专门针对更高级别的员工, 这就是所谓的捕鲸袭击. 公司里的每个人——从最高层到最底层——都应该接受安全培训.

随着网络钓鱼攻击变得越来越复杂, 让你的员工知道他们面对的是什么是至关重要的. 通过了解违规可能造成的影响, 员工会觉得自己有责任保护公司的数据不被利用.

网络钓鱼-常见问题

为什么要克隆网站?

网站克隆是钓鱼者使用的一种流行策略,即克隆登录门户, 托管在一个威胁行为者的服务器上, 稍微修改一下, 这样用户输入的用户名和密码就会被发送给攻击者. 另外, 威胁行为者可能会在克隆网站上使用他们认为有效的漏洞. 电子邮件门户, 远程访问门户, 社交媒体登录门户, 用户可以登录的任何其他内容都是不错的选择.

为什么文档带有恶意软件?

电子办公文档中的恶意软件是钓鱼者常用的另一种策略, 在所谓的合法文档中包含恶意代码的情况下,当用户打开文档或当用户打开文档以启用宏时,恶意代码会触发. 微软的宏和最近的漏洞, Java, Adobe, 而其他常见的第三方产品则被用来进行成功的网络钓鱼活动.

资讯科技如何提供帮助

组织的IT部门的角色涉及教育, 技术, 以及限制网络钓鱼企图造成损害的政策, 如果成功. 此外,IT应该从一开始就努力防止网络钓鱼企图. 以下是IT部门应该采用的一些方法和策略.

  • 多因素身份验证-所有面向互联网的远程访问服务都应采用多重身份验证保护.
  • 员工意识-所有员工都应定期接受教育,以提高他们对网络钓鱼攻击的认识.
  • 培训成效评估-员工的网络钓鱼意识水平可以通过内部或第三方定期开展网络钓鱼活动来评估.
  • 保持系统修补-如果网络钓鱼活动成功, 给系统打补丁对于防止威胁行为者的初始立足点至关重要.
  • 垃圾邮件检测-虽然不是包治百病, 具有垃圾邮件检测功能的电子邮件网关将对到达每个最终用户的垃圾邮件和网络钓鱼尝试的数量产生影响.
  • 限制访问/最小权限-用户需要访问权限来完成他们的工作, 但是,许多公司都存在权限蠕变问题,或者分配给员工的权限超过了员工有效工作所需的权限.
  • 员工视觉指标-额外的视觉提示应该到位,以帮助员工识别网络钓鱼企图.

网络安全意识播客:并非所有的网络钓鱼评估都是一样的

在这一集中,LBMC的网络安全专家讨论了通过网络钓鱼进行社会工程的话题. 了解为您的网络安全计划使用网络钓鱼软件解决方案与渗透测试服务的区别.

组织可以实施的最佳实践来阻止网络钓鱼或限制成功的网络钓鱼尝试的影响.

1. 多因素身份验证

当网络钓鱼成功地欺骗你的员工交出他们的登录凭据时, 多因素身份验证仍然可以潜在地阻止攻击者. 当您的系统被远程访问时,多因素身份验证增加了一层额外的保护. 只有在输入正确的用户名和密码以及第二个因素后才能授予访问权限, 比如发送到员工个人手机上的带有一系列数字的短信. 一些第三方服务, 比如微软的Office 365, 不能放在公司后面的多因素远程访问, 但是,有时可以在第三方环境中设置多因素身份验证. 以Office 365为例,微软 指导用户如何进行设置. 使用多因素身份验证为内部员工保护面向互联网的服务可以阻止攻击者,即使凭据通过网络钓鱼攻击受到损害.

2. 员工意识

定期教育员工,提高他们对网络钓鱼的认识,以及网络钓鱼对企业的威胁. 强制要求与计算机系统交互的用户接受网络钓鱼培训. 在线 钓鱼小测验 (这是 另一个)可以与每月的网络钓鱼电子邮件提醒和办公室周围的视觉提醒(如教育海报)一起使用,以使用户了解组织面临的网络钓鱼威胁,并帮助他们在出现在用户收件箱中时识别这些威胁.

3. 评估培训成效

定期进行网络钓鱼评估,以评估你的网络钓鱼培训是否有效. 评估应着眼于各种类型的网络钓鱼:一般活动(网络钓鱼), 通过电话向员工提出要求(钓鱼), 针对少数用户(鱼叉式网络钓鱼)和针对高管(捕鲸). 来自模拟网络钓鱼活动的指标可以突出可以改进培训的领域,或者确定需要额外帮助的员工.

4. 保持系统更新

确保公司信息系统的操作系统和应用程序补丁都是最新的. 由于未修补的漏洞,攻击者获得对系统的远程访问是很常见的. 例如,当用户单击恶意附件时,就可能发生这种情况. 定期对系统上的所有软件进行补丁审计,以检查更新是否最新,这可以防止入侵者的有效负载成功执行, 即使用户最初被欺骗.

5. 维护备份

确保公司信息系统的工作备份得到维护. 这意味着备份已经过验证过程,显示备份可以成功恢复. 这样做的时候, 在遭受勒索软件攻击的情况下,企业可以迅速恢复, 哪一种通常会对公司数据进行加密,使其不能被公司所有者使用. 虽然在某些勒索软件攻击的情况下,数据可能会被恢复, 如果保持工作备份,就不会有数据是否可以恢复的问题.

6. 垃圾邮件检测

虽然不是包治百病, 具有垃圾邮件检测功能的电子邮件网关将对到达最终用户的垃圾邮件和网络钓鱼尝试的数量产生影响. 防止过多的垃圾邮件传递给最终用户将防止消息疲劳,并使用户更有可能进行现场网络钓鱼尝试.

7. 限制访问

限制对系统资源的访问,不要授予用户过于宽松的管理员权限或映射文件系统的权限. 在用户被欺骗的情况下,限制用户权限将减少网络钓鱼企图的影响.

8. 使用脚本来识别混乱的域

作为一个提醒,一个混乱的域是在哪里的域,如虚假.Com,被巧妙但有意地打错成fa1seinc之类的东西.com. 对于攻击者来说,购买这些域名是很常见的,因为他们知道公司员工不太可能注意到公司名称只打错了一个字母. 要识别这些混乱的域,可以使用脚本,例如 dnstwist 和 urlcrazy 将为您的公司生成混乱的域名, 然后你可以用它来创建一个黑名单的域名被您的电子邮件网关阻止. 交替, 如果你的域名打错了或者有问题,你可以在邮件的主题行加上EXTERNAL这个词,也可以在邮件的主题行加上EXTERNAL这个词. 这可以作为一个视觉指示器,帮助识别可能的网络钓鱼企图,并减少攻击成功的可能性.

9. DKIM政策

域密钥识别邮件策略可以通过识别来自from字段中标识的域的电子邮件来解决问题,同时还可以分析消息在传输过程中是否被修改. DKIM 是一个复杂的主题, 但是实现此策略需要相对较少的努力,并且可以防止欺骗合法域的网络钓鱼攻击.

10. 员工的照片

在邮件客户端目录中放置用户图片是确定电子邮件真实性的另一种视觉提示. 如果公司政策规定用户必须拍照, 如果有人通过电子邮件声称自己来自公司内部,但邮件中却没有图片,那就是可疑的,应该向公司的服务台报告.

11. 使用插件

考虑一个用于报告网络钓鱼电子邮件的软件插件. 微软的Outlook客户端可以配置为允许用户通过点击一个按钮来报告可疑的网络钓鱼企图. 至少 一个邮件网关供应商 还提供了一个插件下载,可以推到工作站. 将此按钮放在用户面前是为了提醒用户警惕网络钓鱼很重要.

实施这些建议将提高您公司抵御网络钓鱼和其他形式攻击的安全性. 鉴于网络钓鱼的盛行, 对于公司的技术人员来说,帮助日常用户更容易地识别网络钓鱼尝试是很重要的.

电子邮件安全的最佳实践

电子邮件是用来发起网络钓鱼、垃圾邮件和勒索软件等安全威胁的主要方法. 这些攻击每年给许多公司造成数百万美元的损失. 但是,您可以采取一些步骤来保护您的业务免受高级安全威胁.

许多黑客和网络犯罪分子的目标是那些没有意识到自己面临威胁的员工. 它是, 因此, 组织培训员工如何识别是至关重要的, 避免, 并报告袭击事件. 培训应教授员工基本的安全最佳实践,包括:

  • 不要点击你不认识的邮件链接. 如果你把鼠标悬停在一个链接上,而这个链接没有到达它应该去的地方,不要点击它.
  • 打开电子邮件附件时要小心. 这是勒索软件的常见攻击方法.
  • 回复可疑的邮件, 问这样的问题, “你为什么给我发这个链接??”
  • 仔细看看电子邮件域(如.e. person@domain.Com)的发送者. 对吗?? 或者是拼写错误,缺了一个字母等等.?
  • 没有和你的IT部门核对就不要下载软件.
  • 经常重新启动以将最新的安全更新和补丁应用到计算机上.
  • 不要在你的电脑里放任何不明来源的东西,包括cd和usb.
  • 尽量减少在工作时浏览网页,这可能会使业务受到攻击.
  • 避免在工作电脑上点击Facebook或Twitter等社交媒体账户上发布的链接.
  • 避免在工作电脑上使用公共Wi-Fi. 当您使用公共网络时,请使用VPN或其他安全网络进行远程连接.
  • 使用口令代替简单的口令.
  • 使用多因素身份验证(MFA), 也就是双因素身份验证(2FA), 以帮助保护您的帐户.

每条消息都很重要,只要一个错误的点击就会造成商业损失. 如今,许多企业聘请专家对员工进行网络钓鱼活动,以评估他们的安全意识. 这些 渗透测试 帮助公司进行电子邮件意识培训, 怎样才能防止员工泄露你努力保护的数据.

提高电子邮件安全性的另一种方法是实施 企业级安全 和威胁可见性工具,包括主机入侵防御系统(HIPS). HIPS监视用户计算机的可疑活动,并向防火墙报告潜在的威胁, 在管理员确定是否应该允许电子邮件通过最终用户之前,会阻止电子邮件.

随着威胁的不断增加, 确保您拥有最新的业务保护至关重要. LBMC可以帮助您主动识别和防止恶意网络攻击. 如果您需要其他帮助,以确定满足安全需求的最佳解决方案, LBMC有经验丰富的IT安全专家提供协助.