2021 年,网络钓鱼和类似欺诈是向美国互联网犯罪投诉中心报告的最常见的网络犯罪类型,有 324,000 人受到影响。
网络钓鱼有多种形式——电子邮件网络钓鱼、鱼叉式网络钓鱼和商业电子邮件妥协 (BEC)。 一旦成为目标,成功的网络钓鱼尝试可能会诱骗用户泄露重要数据并下载恶意软件,从而导致勒索软件和其他恶意网络活动。
在策划这些攻击时,攻击者希望以最低的投资获得最大的回报。 社会工程攻击尝试使用授权、恐吓、共识、稀缺性和紧迫性来诱使受害者实现对手的目标。
自从互联网诞生以来,网络犯罪分子就能够与他们想要的任何人进行通信,并非常容易地达到攻击目标。 网络安全和其他 IT 领导者保护其企业免受有针对性的社会工程攻击(这可能对业务有害)的受害者的最佳方法是:
对人员进行识别网络钓鱼企图以及如何应对的教育和培训。
安装可以自动检测和标记这些威胁的反网络钓鱼软件。
利用浏览器安全解决方案分析网页结构和行为以识别潜在威胁。
让我们更深入地讨论其中的每一个:
1、人才教育培训
保护公司免受社会工程威胁的第一步是能够识别并有效地管理它们。 因此,如果反网络钓鱼软件和其他保护措施不能有效阻止威胁,提高员工对网络钓鱼尝试的认识以及用户在面对网络钓鱼尝试时应该做什么对于保护企业至关重要。 (另请阅读:网络安全的人为因素:什么让您处于危险之中。)
组织可以通过不断教育员工、验证他们的知识并鼓励员工保持警惕来做到这一点。 偶尔发送虚假的网络钓鱼电子邮件来测试员工的知识,这在培训过程中也非常有帮助。
除了被告知在面临网络钓鱼尝试时应该做什么之外,用户还应该清楚地知道不该做什么。 用户应始终小心并知道不要上当的网络钓鱼尝试的明显迹象包括:
缩短和错误填充的 URL。
不安全的 HTTP 网站。
图片和链接损坏的网页。
要求提供敏感信息或不遵循总体协议的可疑电子邮件。
2. 反钓鱼软件
还应在整个组织的 IT 生态系统中实施反网络钓鱼软件,以防止社会工程攻击。
共享已知网络钓鱼站点列表的站点可能非常有用,但反网络钓鱼软件不应基于已知网络钓鱼站点列表。 这是因为,不幸的是,这些网站经常变化,而且总是会有零号病人。 除非该软件知道哪些网站是钓鱼网站,哪些不是,否则它将不必要地限制对更多网站的访问,最终降低员工的工作效率。
一些反网络钓鱼操作系统可能会错过真正的攻击,但会对完全无害的活动发出警报。 正确的反网络钓鱼软件会拦截电子邮件并在将它们传递到收件箱之前对其进行扫描以查找任何潜在的有害材料。 它还可以通过为用户签名添加额外的保护层来防止未经授权的欺骗,这样网络罪犯就无法模仿域名。 此外,反网络钓鱼软件能够在恶意 URL 到达用户之前对其进行分析和阻止,从而实时阻止恶意 URL。
3. 浏览器安全解决方案
对网络钓鱼和其他社会工程攻击的终极保护来自于保护浏览器的整体安全。 正确的解决方案可以在为时已晚之前防止攻击并防止所有攻击,而不仅仅是网络钓鱼。 强大的浏览器安全解决方案应该分析运行时遥测,同时完全独立并且不依赖于其他第三方提要来强制合规。
浏览器安全解决方案需要具备防止所有浏览器攻击的能力,包括漏洞利用、社会工程攻击和 Web 应用程序漏洞。 他们还必须能够防止用户违反政策。 由于企业的安全级别是由其多层防御中的最弱点定义的,因此浏览器必须是组织供应链中最强的点。 (另请阅读:内部威胁意识:避免内部安全漏洞。)
结论
不幸的是,网络钓鱼和其他社会工程攻击正在以惊人的速度增长:网络钓鱼站点的数量在 2022 年的前几个月已经增加了 4.4%。共有 1,025,968 次网络钓鱼攻击,使 2022 年第一季度成为观察到的网络钓鱼最严重的季度 迄今为止。 网络钓鱼很容易成为网络犯罪分子部署恶意软件、勒索软件或其他形式的恶意代码并迅速摧毁组织的“手段”。
为了防止这些攻击并确保业务运营保持一致,同时保护有价值的数据,必须将社会工程和预防放在首位。 就网络钓鱼迹象、预防和响应技巧对员工进行教育,并强调网络钓鱼知识的重要性,是确保组织安全的关键第一步。 此外,实施反钓鱼软件和全面的浏览器安全解决方案,实时检测威胁,防止敏感数据泄露和用户凭据被盗,应该是企业的首要任务。 通过识别只能从浏览器中查明的操作,这些强大的解决方案将确保组织免受有针对性的社会工程攻击。
没有任何工具或深层次的教育可以完全防止用户因人为错误而点击恶意链接。 也就是说,通过对社会工程攻击的正确理解并认识到真正免受 Web 攻击的保护来自保护浏览器,用户可以更安全地免受网络钓鱼的影响。
