近年來，不法分子的攻擊手段愈發多樣且層出不窮——勒索軟件（Ransomware）、企業電子郵件攻擊（Business Email Compromise，BEC）、CEO欺詐（CEO scam/fraud）、魚叉式網絡釣魚（spear phishing）、語音釣魚（vishing）等等。許多企業客戶已經因此蒙受數據泄露等損失，逐漸開始著眼于提升員工安全意識，建立企業安全文化。

什么是網絡釣魚

網絡釣魚是一種社會工程攻擊，通過偽裝成可信的個人或機構來誘騙目標泄露敏感信息（如用戶名、密碼、信用卡號等），或者點擊惡意鏈接，導致惡意軟件安裝或進一步的網絡攻擊。據調查91%的成功數據泄露都是從魚叉式網絡釣魚攻擊開始的。

網絡釣魚通常通過以下方式實施：

偽造電子郵件或短信。釣魚攻擊通常通過發送相同的郵件給大量用戶，要求填寫個人信息。這些信息將被攻擊者用于非法活動。郵件通常帶有緊急提示，要求用戶輸入憑證更新賬戶信息或驗證賬戶，或者通過鏈接填寫表格以訪問新服務。

創建虛假的網站，模仿合法機構的網站外觀。網站偽造的目的是讓用戶輸入可用于詐騙或對受害者發起進一步攻擊的信息。

使用社交媒體消息進行誘導。例如，詐騙短信試圖通過指向網絡釣魚網站的鏈接來誘騙受害者泄露個人信息。

魚叉式網絡釣魚。黑客想要攻擊的目標是特定的個人或組織，他們想要的是比信用卡數據更有價值的信息。他們會對目標進行研究，使攻擊更加個性化，增加成功的機會。

在語音網絡釣魚中，網絡釣魚者會打電話給用戶并要求用戶撥打號碼。目的是通過電話獲取銀行賬戶的個人信息。語音釣魚主要是通過偽造的來電顯示完成的。

涉及惡意軟件的網絡釣魚詐騙需要在用戶的計算機上運行。惡意軟件通常附加在網絡釣魚者發送給用戶的電子郵件中。一旦您點擊該鏈接，惡意軟件就會開始運行。有時，惡意軟件也可能附加到可下載的文件中。

惡意廣告是包含惡意腳本的廣告，用于下載惡意軟件或強制將不良內容推送到用戶電腦上。常見的攻擊方式包括利用Adobe PDF和Flash中的漏洞。

網絡釣魚攻擊的目標包括個人和企業，目的是竊取信息、獲取財務利益或破壞業務。

圖1：經典網絡釣魚電子郵件

如何識別和阻止網絡釣魚

安全主管需要知道員工收到釣魚郵件時會發生什么：他們會點擊鏈接嗎？被誘騙泄露憑證嗎？下載帶有惡意軟件的附件嗎？他們會直接忽略或刪除電子郵件而不適當通知他們的安全團隊嗎？還是他們會報告可疑的網絡釣魚并在人為防御層中發揮積極作用？通過提供識別和應對潛在威脅所需的知識、技能和工具，企業可以將員工從負擔轉變為強大的資產。

如何識別網絡釣魚

檢查發件人地址：仔細核對郵件發件人的地址是否與合法機構一致，注意細微的拼寫差異。

警惕不合理的緊急請求：釣魚信息常包含緊急措辭（如“立即驗證賬戶”），目的是讓受害者倉促操作。

分析鏈接和附件： 不點擊郵件或短信中的可疑鏈接。鼠標懸停在鏈接上，檢查是否指向可信網站。

避免泄露敏感信息：正規機構通常不會通過電子郵件或短信要求提供密碼、銀行賬戶等信息。

檢查語法和排版：釣魚信息常含有拼寫、語法錯誤或不符合正規品牌風格的設計。

如何阻止網絡釣魚

教育和培訓：提高員工和個人的安全意識，教會他們識別釣魚攻擊。

郵件過濾：部署反釣魚郵件網關，攔截惡意郵件。

多因素認證（MFA）：即使賬戶憑證被盜，MFA也能增加一層保護。

監控和日志記錄：及時發現異常活動。

安全補丁：確保操作系統、瀏覽器和安全軟件保持最新。

測試：通過模擬釣魚測試來評估和增強員工的防護能力。

艾體寶KnowBe4如何幫助企業建立安全意識

艾體寶KnowBe4是一個致力于提供安全意識培訓和釣魚模擬服務的平臺，幫助企業減少因人為錯誤導致的網絡威脅。它集網絡釣魚、安全培訓、安全分析與一體，其服務包括：

1.有效且真實的釣魚模擬測試

提供基線測試，通過免費的模擬網絡釣魚攻擊來評估用戶的 Phish-prone? 百分比。

部署一流的、全自動的模擬網絡釣魚攻擊、數千個無限制使用的模板、自定義網絡釣魚模板以及社區網絡釣魚模板。

根據用戶的培訓和網絡釣魚歷史記錄，使用人工智能來推薦和提供知情且個性化的網絡釣魚活動。模擬真實的網絡釣魚場景，測試員工的反應和應對能力。

2.實時分析和報告

提供詳細報告，展示安全意識培訓和網絡釣魚的統計數據和圖表，幫助企業了解安全意識薄弱點并針對性改進。

企業級報告為用戶提供了 60多個內置報告的集合，其中的見解可提供整個企業隨時間變化的整體視圖。

通過執行報告，用戶將收到高級執行級報告，以便幫助企業的安全計劃做出有效的數據驅動決策。

最后，企業可以使用行業基準將自己的網絡釣魚傾向百分比、安全意識熟練度分數和安全文化分數與行業中的其他企業進行比較。

3.全面的安全意識培訓

提供結構化的培訓計劃，涵蓋網絡釣魚、社會工程、惡意軟件識別等。

提供世界上最大的安全意識培訓內容庫；包括交互式模塊、視頻、游戲、海報和新聞通訊。

擁有移動端的APP，可隨時隨地在手機、平板等終端上輕松查看培訓互動模塊視頻。

通過 KnowBe4，企業可以利用用戶評估來發現在整個安全意識培訓過程中，企業的用戶既了解安全知識又了解安全文化。企業還將收到基于網絡釣魚安全測試活動中用戶表現指標的人工智能驅動的培訓建議。

優勢：通過安全意識培訓和持續測試，KnowBe4能幫助企業顯著降低因釣魚攻擊導致的安全事件，同時強化企業文化中的安全意識。

圖2：KnowBe4報告部分內容展示

圖3：KnowBe4網絡釣魚報告部分內容展示

審核編輯 黃宇