今年,“2022年新加坡国际网络周”的主题是“网络安全责任分担”。这是因为,现实中有越来越多的成功网络钓鱼电子邮件案例,这些电子邮件诱骗人们点击有问题的URL、下载恶意附件或执行其他危险行为。
本文主要介绍网络钓鱼攻击,并基于“责任分担”这一指南,提供相关应对措施。
简介网络钓鱼
网络钓鱼诈骗,仅仅是攻击者的利用心理诱导(而非技术漏洞)来实现其恶意目标。通常,攻击者发送电子邮件或文本消息(这些信息会被标识为来自受信任的公司或个人)给目标用户。这些电子邮件或文本信息,主要用于引导目标用户去访问虚假网站、下载附件,或利用情感(如信任和恐惧)令目标用户泄露某些信息。
这类攻击,始于20世纪90年代。当时,攻击者向美国的AOL用户发送即时消息和电子邮件,以获得他们登录账号凭证。攻击者希望获得大量用户账号和密码,以便发送大量垃圾邮件。
后来,识别网络钓鱼攻击还不算难事,因为通常邮件正文包含许多语法错误。伪装成法人或公司发送的邮件,往往显得草率。因此,如果目标用户有一定网络安全意识,都能很容易识别出网络钓鱼。尽管如此,仍有一定比例的、毫无戒心的用户,成为了这些攻击的受害者。
在过去几年中,网络钓鱼已发展成为一种更专业、具针对性、以获利为目标的攻击。为了令钓鱼攻击成功,攻击者会利用公司网站和社交网络平台,对潜在目标进行侦察,以弄清楚员工信息和职位。他们会建立有关目标的详细信息文件,并且使用精心制作的电子邮件和伪造的域(做得令其看起来与合法网站一样)来进行欺诈。
在《IBM的2021年数据泄露成本报告》(请点击IBM’s Cost of a Data Breach Report 2021來查看原文)中指出,网络钓鱼电子邮件是费用第二高的攻击媒介。这项统计数据反映了,网络钓鱼电子邮件在全球范围内的扩散和危害。由于社会发展,网络钓鱼电子邮件诈骗将继续上升,因为人们会更加依赖数字化网络,并持续使用电子商务、电子银行和电子支付等。为了对抗这些网络钓鱼诈骗,每个人都必须负起自身的网络安全责任,掌握基本网络安全知识,养成相关良好的安全习惯。
如何应对网络钓鱼
在网络钓鱼诈骗数量上升后,最近新加坡当局提倡的“责任分担”,即在打击网络钓鱼威胁方面,政府、企业和员工应各有所侧重,共同协作。具体如下:
- 在政府层面,新加坡网络安全局(SingCERT)等机构可以开展提高安全意识的宣传活动,传播重要信息(例如确保在线安全、如何识别网络钓鱼等)。
- 企业应将反欺诈作为员工网络安全培训计划的关键元素之一。 模拟网络钓鱼攻击应作为传统培训材料的补充,也可作为测试员工安全意识的一种方式。
- 在突然收到自称来自银行或其他金融机构的电子邮件或短信时,员工应谨慎行事,先求证真伪,然后才做其它处理。 特别要记住,金融机构绝不会发送这类SMS消息(包含要求提供敏感信息(如登录账号密码)的链接)给其客户。
- 企业可以使用域监控工具,来保护其品牌和网站免受模仿或欺诈。
- 企业的另一个可选措施是,多和客户沟通交流网络安全方面的经验。企业与客户分享其在网络钓鱼威胁方面的经验、其它常见欺诈方法和应对措施,或者某些行业受骗案例,从而实现双方信息沟通、共同提升安全防范意识。
- 若员工收到来路不明的可疑邮件,应主动向公司(如需要,或公司的客户)报告,以防受到内部网络钓鱼攻击。
大力加强保护身份的方法
在反击网络钓鱼方面,各种相关技术发挥着重要作用。多因素身份认证(MFA)、交易签名、基于风险的身份认证和移动应用保护解决方案,都是企业可选用的有力工具,以防范网络钓鱼欺诈。
安讯奔有各种身份和访问权限管理解决方案,可实现各种目标,例如管理各种用于交易签名的令牌、实现情景认证(系统根据每次登录风险,而采用相应的认证用户的方式)、端到端加密登录凭证和敏感数据、保护移动应用(有效防止运行时攻击等)。
携手安讯奔,共同打击网络钓鱼:请尽快联系我们吧!