网络钓鱼已成全球企业的主要威胁。
网络钓鱼,是发送非法电子邮件引诱终端用户做出响应的一种操作——无论用户的响应是点击可致恶意软件感染的链接,还是拱手交出平时不太可能告诉别人的口令之类敏感信息。
令人毛骨悚然的是,所有迹象都表明,网络钓鱼攻击越来越普遍了。WebRoot表示,每个月都有近150万个新的网络钓鱼登录页面被创建。为什么网络钓鱼如此流行?原因有以下几点:
首先,这种操作成本非常低。发送电子邮件基本上是免费的,只需要花点时间编写下内容即可。不仅如此,电子邮件账户简直无处不在。人们通常至少有2-3个电子邮件账户,比如私人电子邮件账户、公司电子邮件账户、社交媒体账户等。这些账户可以从多台设备访问,智能手机、平板电脑,还有其他个人和公司设备都可以。
于是,想要展开网络钓鱼攻击的坏人,用一封邮件,就可以染指多台设备;而如果向同一个人的多个电子邮件账户发起网络钓鱼尝试,攻击者的战果甚至还能更丰富些。重大网络安全事件的根源,就是那小小不言的一次错误点击。
网络钓鱼测试是什么?
网络钓鱼测试或许是公司企业可采取的最有效网络防护措施之一了。
网络钓鱼测试,就是创建一封虚假网络钓鱼邮件,然后发送给指定用户组。用户收到该邮件时,可以像平时对待普通邮件那样处理。但当他们点击了邮件中的链接,就会被重定向到某种形式的登录页面。
取决于测试的目标,该页面可以是常见的“404错误”网页(如果你不希望用户知道自己在被测试的话),也可以是网络钓鱼和其他安全威胁的普及教育页面,帮助员工树立起更强的安全意识。有关该邮件的数据,比如谁收到了邮件、谁点击了里面的链接等等,也同时被收集起来用以后续分析。
通常,公司管理层会与IT顾问一起审阅测试结果,讨论怎样提升安全意识,或者,有必要的话,打造更健壮的安全态势。
为从网络钓鱼测试中收获更多价值,最好每年多进行几次测试,定期向用户发送不同类型的电子邮件。这些邮件的内容应多种多样,且因受众而异。
比如说,医疗系统中工作的员工,就应该至少接受一次看起来与医疗行业问题相关的网络钓鱼测试。基本上,要夯实安全意识,就得让这些测试更具欺骗性。换句话说,如果你能教会用户识别没那么容易认出的虚假网络钓鱼邮件,他们就更有可能避免被真实攻击钓上。
另外,建议区分用户,因材施教。对在识别网络钓鱼邮件上有困难的用户,增加额外的定制培训。某些用户在网络钓鱼测试中接受经验教训很快,初始测试过后就大幅降低了钓鱼链接点击率,但有些用户难免会困难些。
这种有区别的处理方式,可以让防骗教育接受有困难的用户,在将来树立起更好的安全意识,降低他们的风险。
我的公司也需要进行网络钓鱼测试?
大多数情况下,是的——你的公司需要这么做。不仅仅是某些合规标准要求安全意识培训,有时候甚至特别指定了网络钓鱼测试;而且大多数员工并未准备好应对及识别网络钓鱼,也是个非常明显的外部威胁。
网络钓鱼诈骗瞄准的是终端用户的疏忽大意,鉴于此攻击的广泛性,某人防范意识缺乏而掉坑造成严重影响的情况,真的仅仅是个概率问题。只要你指望自己的员工经常通过电子邮件来做业务,你就能感受到这一威胁给你的公司风险管理带来的巨大挑战。
一次重大网络安全事件,比如勒索软件攻击,给公司带来的损失,远比受控网络钓鱼测试和网络安全意识培训项目的开销要大得多。
什么是“网络钓鱼”,如何防范?
什么是网络钓鱼? 网络钓鱼(Phishing)一词,是“Fishing”和“Phone”的综合体,由于黑客始祖起初是以电话作案,所以用“Ph”来取代“F”,创造了”Phishing”。 “网络钓鱼”攻击利用欺骗性的电子邮件和伪造的Web站点来进行诈骗活动,受骗者往往会泄露自己的财务数据,如信用卡号、账户用户名、口令和社保编号等内容。 诈骗者通常会将自己伪装成知名银行、在线零售商和信用卡公司等可信的品牌,在所有接触诈骗信息的用户中,有高达5%的人都会对这些骗局做出响应。 在美国和英国已经开始出现专门反网络钓鱼的组织,越来越多在线企业、技术公司、安全机构加入到反“网络钓鱼”组织的行列,比如微软、戴尔都宣布设立专案分析师或推出用户教育计划,微软还捐出4.6万美元的软件,协助防治“网络钓鱼”。 用户自卫指南一、普通消费者: 安全专家提示:最好的自我保护方式是不需要多少技术的。 1. 对要求重新输入账号信息,否则将停掉信用卡账号之类的邮件不予理睬。 2. 更重要的是,不要回复或者点击邮件的链接——如果你想核实电子邮件的信息,使用电话,而非鼠标;若想访问某个公司的网站,使用浏览器直接访问,而非点击邮件中的链接。 3. 留意网址——多数合法网站的网址相对较短,通常以或者结尾,仿冒网站的地址通常较长,只是在其中包括合法的企业名字(甚至根本不包含)。 4. 避免开启来路不明的电子邮件及文件,安装杀毒软件并及时升级病毒知识库和操作系统补丁,将敏感信息输入隐私保护,打开个人防火墙。 5. 使用网络银行时,选择使用网络凭证及约定账户方式进行转账交易,不要在网吧、公用计算机上和不明的地下网站做在线交易或转账。 6. 大部分的“网络钓鱼”信件是使用英文,除非你在国外申请该服务,不然应该都收到中文信件。 7. 将可疑软件转发给网络安全机构。 最后提醒一句,不幸中招者最好尽快更换密码和取消信用卡。 二、商业机构1. 为避免被“网络钓鱼”冒名,最重要的是加大制作网站的难度。 具体办法包括:“不使用弹出式广告”、“不隐藏地址栏”、“不使用框架”等。 这种防范是必不可少的,因为一旦网站名称被“网络钓鱼”者利用的话,企业也会被卷进去,所以应该在泛滥前做好准备。 2. 加强用户验证手段,提高用户安全意识。 3. 及时处理用户反馈,积极打击假冒网站和其他相关的违法行为。 客户中心对类似“为什么每次登陆都得输入两次账号和密码?”之类的投诉,就要想到是否有“网络钓鱼”的可能,因为“网络钓鱼”者通常“劫持”第一次数据,而用户再一次登陆才进入了真正的页面。 4. 当然,安装杀毒软件和防火墙、及时升级、打补丁、加强员工安全意识、与安全厂商保持密切联系等都是必不可少的。 最后也要提醒一句,一旦出现被仿冒的情景,首先企业应该把诈骗网页取下来。 有些时候,这并不是一件简单、快捷的工作。
norton interNet security 是什么东西
Norton internet security 是赛门铁克(诺顿)的网络安全套装(又叫诺顿网络安全特警),不但可防御病毒、间谍软件等,还增加了防火墙、入侵防护、钓鱼保护等,其中钓鱼保护是首次加入的新功能。不过,诺顿在最近3次全球杀毒软件杀毒能力测试中排名已经从第五、第十降为第二十二
SSL数字证书的部署有什么好处?
首先SSL证书是为网络通信提供安全及数据完整性的一种安全协议。 SSL证书是数字证书的一种,它是遵守SSL安全套接层协议的服务器证书,网站安装部署SSL证书,可实现网站身份验证和数据加密传输的功能。
网站部署SSL证书的好处:
1、网站实现加密传输,加强隐私安全保护
网站没安装SSL证书的话,是以http协议来访问的,浏览器和服务器之间是明文传输,这意味着用户填写的账户信息、交易记录等隐私信息都是明文,存在被泄露、窃取及篡改的风险,容易被恶意攻击,给用户带来损失。
但网站安装SSL证书后,便可用https加密协议访问网站,浏览器和服务器之间通过安全协议实现双向加密传输,能有效防止数据被泄露或篡改,加强网站安全防护。
2、认证服务器真实身份,防止钓鱼网站仿冒
网站部署全球信任的SSL证书后,浏览器内置安全机制,实时查验证书状态,通过浏览器向用户展示网站认证信息,让用户轻松识别网站真实身份,防止钓鱼网站仿冒。
这里要注意的是,市面上SSL证书参差不齐,只有可信的证书才能通过浏览器安全审核。 安信SSL证书与多家全球知名的CA机构均有合作,SSL证书品牌种类丰富,有需要的朋友可以选择考虑下看看。
3、有利于提高网站搜索排名及收录
现在各个主流浏览器会优先收录以https开头的网站,即安装了SSL证书的网站,例如网络、谷歌等浏览器对https网站比较友好,搜索排名及收录往往会比较不错,但如果是没有安装SSL证书的网站,就会提示安全风险警告信息,给访问者带来不好的体验。
4、提高公司品牌形象和可信度
SSL证书有多种类型,按照验证等级不同,从低到高,主要分为域名型DV SSL证书、企业型OV SSL证书、增强型EV SSL证书。 安装了OV SSL证书或EV SSL证书的网站,访问者可以在浏览器地址栏查看到公司名称,另外EV证书会直接显示https绿色安全锁图标,用户可直观地了解到其访问的是安全可信的站点,可放心的进行操作和交易,有效提升公司的品牌形象和可信度。
发表评论