我們知道許多通過惡意軟件或系統(tǒng)漏洞來竊取密碼的技術(shù)方法,而其中最難抵御的方法之一就是讓用戶在不知情的狀況下主動(dòng)披露自己的登錄憑證。
是的,這就是網(wǎng)絡(luò)釣魚。具體來說,網(wǎng)絡(luò)釣魚就是誘騙用戶訪問假冒的釣魚網(wǎng)站并將自己的登錄憑證輸入其中的一種技術(shù)手段。
我們經(jīng)常會(huì)看到假冒的Gmail或Dropbox電子郵件,而且大多數(shù)用戶都有能力判斷這些郵件屬于傳統(tǒng)的釣魚郵件。
但是,一旦釣魚郵件涉及工作相關(guān)內(nèi)容或看似來自其他可信來源時(shí),用戶便難以判斷其真?zhèn)巍?/strong>
試想一下,如果你收到一封自稱為企業(yè)IT部門的電子郵件,內(nèi)容為邀請(qǐng)用戶登錄新的人力資源系統(tǒng)。而企業(yè)又具備非常正規(guī)的溝通方式和渠道,那么這種通知方式就不免顯得十分奇怪。
但是,如果情況并非如此,該電子郵件可能會(huì)提示用戶點(diǎn)擊鏈接,而且如果該釣魚網(wǎng)站看起來足夠有說服力的話,信任的用戶甚至可能會(huì)輸入自己的登錄憑證,這樣的話,攻擊者的惡意目的就達(dá)成了。
所以說,企業(yè)應(yīng)該如何防范這種網(wǎng)絡(luò)釣魚方式呢?
最好的防御措施之一就是盡可能地實(shí)施雙因子身份認(rèn)證。如果登錄證書被盜用,攻擊者在利用這些證書之前還需要第二個(gè)認(rèn)證因素。這種措施無法阻止攻擊者竊取登錄憑證,但是能夠有效地阻止攻擊者成功利用這些獲取到的憑證。
另一個(gè)重要的防御措施就是對(duì)用戶進(jìn)行安全培訓(xùn)。
對(duì)用戶進(jìn)行培訓(xùn)能夠加深用戶對(duì)網(wǎng)絡(luò)釣魚技能的認(rèn)知,以便識(shí)別釣魚行為。此外,還能使安全團(tuán)隊(duì)從用戶行為(可能被技術(shù)人員認(rèn)為是理所當(dāng)然的行為)中學(xué)習(xí)到有價(jià)值的見解。
例如,用戶可能會(huì)習(xí)慣假設(shè)組織已經(jīng)對(duì)電子郵件進(jìn)行了過濾,以防止任何惡意郵件通過,但是這種假設(shè)是錯(cuò)誤的。無論多么高質(zhì)量的電子郵件保護(hù)措施,都可能會(huì)無法避免地“放過”一些惡意電子郵件。
對(duì)于惡意網(wǎng)站也是如此。用戶可能會(huì)理所當(dāng)然地認(rèn)為有保護(hù)措施已經(jīng)對(duì)惡意網(wǎng)站進(jìn)行了過濾,但是即便是最好的網(wǎng)頁過濾工具也可能會(huì)漏過少數(shù)的惡意網(wǎng)站。
一旦用戶能夠了解到,任何安全工具無法完全保障百分百地阻止所有的惡意電子郵件或站點(diǎn),他們才有可能形成一種高度的責(zé)任感,來幫助維護(hù)組織的網(wǎng)絡(luò)安全。
此外,用戶能夠了解攻擊者可以輕松地建立一個(gè)釣魚網(wǎng)站也是非常重要的。
對(duì)攻擊者而言,建立一個(gè)包含登錄表單、標(biāo)題和組織logo的網(wǎng)站是一件非常簡單的事情。此外,攻擊者還可以輕松地克隆任何公開可用的網(wǎng)頁(甚至是您公司的網(wǎng)頁),并注冊(cè)一個(gè)類似的域名來迷惑用戶。
更重要的是,攻擊者還可以獲得免費(fèi)的證書來顯示鎖定圖標(biāo),該圖標(biāo)只意味著該網(wǎng)站的URL與證書相匹配,且其流量已被加密,但是這并不能保證用戶的安全。
用戶是安全等式成立的重要組成部分。因此,重視用戶培訓(xùn)使其能夠做出正確和安全的選擇,樹立企業(yè)安全意識(shí)文化將幫助企業(yè)在安全態(tài)勢中獲取重大成功。