对于网络罪犯和欺诈者来说,节假日是一个忙碌的时期,因为他们通常会假冒商家与消费者进行交易或发送优惠券等,并声称是他们信任的组织和品牌。
事实上,根据调研机构的调查,经验丰富的黑客只需要几分钟就可以对自认为安全且受保护的企业及其受管理的服务提供商发起社交工程攻击。
根据Hoxhunt公司的研究,电子邮件的网络钓鱼(旨在欺骗受害者提供敏感数据甚至欺诈钱财)将恶意软件侵入收件人系统。时至今日,电子邮件网络攻击仍占所有数据泄露的90%。这些网络攻击给全球经济造成了6万亿美元的损失。
尽管很多人已经普遍意识到这些网络攻击的存在(即使他们不知道“网络钓鱼”这个术语),但它们仍然惊人地普遍和有效。
那么,当今流行的网络钓鱼攻击有哪些?网络安全专家使用了哪些方法来尽量减少这种攻击的影响?企业如何在更大范围内应对这些威胁并防止持续的网络钓鱼攻击?
以下对这些进行了介绍和分析:
1.了解不同类型的网络钓鱼攻击
网络钓鱼者通过各种通信方式和网络连接使用社交工程来发起网络钓鱼攻击。网络钓鱼不仅仅是发送恶意电子邮件,还包括:
•电子邮件钓鱼:网络攻击者发送带有附件的电子邮件,当受害者打开时在系统中注入恶意软件或恶意链接,将他们引到其他网站而泄露了敏感数据。
•鱼叉式网络钓鱼:网络攻击者向他们知道拥有所需信息的特定目标发送电子邮件,例如销售部门或IT部门的员工。
•捕鲸式网络钓鱼:向首席执行官或首席财务官等企业高管发送电子邮件,这是一项备受瞩目的目标诈骗的一部分。
•钓鱼短信:通过短信进行的网络钓鱼。
•钓鱼语音:IP语音和电话服务也容易受到网络钓鱼攻击——网络攻击者使用语音合成软件和自动呼叫请求受害者提供银行详细信息和登录凭证。
•社交媒体网络钓鱼:通过Instagram、Twitter、Facebook或LinkedIn等社交平台实施的网络攻击,旨在接管受害者的帐户或将其用于发布消息,作为更大规模活动的一部分。
•网域嫁接:网络攻击者使用DNS缓存中毒(将合法缓存的IP地址替换为恶意的IP地址)将受害者重定向到虚假(但外观相似)的网站,在那里他们的登录凭证被捕获。
2.培训员工识别网络钓鱼企图
网络钓鱼攻击不仅司空见惯,而且对网络攻击者来说已经变得非常有利可图,一些网络犯罪分子的重点不再是个人。与此相反,他们针对的是那些可能被骗泄露更敏感信息的员工。
Security In Depth公司首席执行官Mike Connory说:“其中的一个例子是银行——网络攻击者不再针对个人客户,这是一种愚蠢和缓慢的攻击行为,而是针对银行本身进行网络攻击。”
由于网络钓鱼攻击以人员为目标,网络安全专家一致认为,针对这一点的最佳防御措施是向员工提供安全意识培训。这有助于及早识别网络攻击并提高整体安全性。企业各部门的员工需要采取的一些基本预防措施包括:
•尽可能将个人使用和工作使用的电子邮件和网站账户(甚至是设备)分开。
•需要知道合法的企业永远不会要求对方提供密码、个人、财务或公司信息,需要进行反复确认。
•不要复制和粘贴电子邮件中的链接,永远不要点击缩短网址,除非信任网址的来源。
•检查发件人的电子邮件地址。如果不熟悉,不要打开。
•仔细查看登录、共享、访问或创建敏感数据的所有网站的网址。
•大多数来自网络钓鱼者的信息和电子邮件都包含拼写和语法错误。他们通常没有进行校对。
•胁迫或威胁的信息或电话是危险信号。除非存在法律纠纷,否则合法机构不会发送此类信息,需要再次检查。
•不要登录不信任的WiFi网络。
如果操作正确,这些简单的步骤可以使员工成为企业网络安全的捍卫者。Consulting and Performanta公司全球主管Riaan Naude说,“人们经常听说人员是安全的薄弱环节,但这是一种极端的言论,没有考虑到将员工作为第一道防线的好处。”
Naude补充说:“如果员工能够遵循一种无痛苦的报告流程,并产生切实的结果,他们就能发现收件箱可能将收到大量的威胁邮件。这一点很重要,因为网络钓鱼攻击事件的报告率目前仅为微不足道的3%。”
3.使用支持人工智能的软件实施反网络钓鱼安全措施
考虑到基于人工智能的网络钓鱼感知平台的普及,内部网络安全培训不再是一个需要时间和技能密集型的过程。如今,机器学习可以根据每个人当前的认知水平、在企业中的位置和浏览行为,为他们提供个性化的安全培训计划。
此外,人工智能是网络安全专家的有力工具。它通过改进和自动化常规威胁检测程序来提高安全策略的效率和有效性。人工智能支持的自动化可以帮助企业实施各种反网络钓鱼措施:
•部署反恶意软件,防病毒和反垃圾邮件工具,并对关键应用程序进行修补和更新。
•在企业电子邮件服务器上部署电子邮件身份验证标准,以检查和验证入站电子邮件。例如基于域的消息认证报告和一致性(DMARC)的一些协议,可以帮助管理员和用户有效阻止未经请求的电子邮件。
•为员工安排定期的安全和网络钓鱼培训,并对未通过测试的员工采取补救措施。
•建立企业内部合法通信的模型——基于常规用户的可预测行为,制定各种实体之间的交互模式,并分析消息的场景,并为电子邮件分配动态安全评分(带有异常阈值)。
•与云计算电子邮件服务集成,以阻止过滤过去平台原生安全的恶意电子邮件。
•为员工提供一键式报告可疑邮件的路径,并自动分类、分析和管理这些邮件。
以人为本的网络钓鱼防御
尽管任何安全措施的有效性都取决于人员、流程和技术,但网络钓鱼可以被其赖以生存的策略所击败。帮助人们变得更明智、更有感知力、更有弹性和响应能力的解决方案将会获得对抗网络钓鱼攻击的胜利。