我们知道许多通过恶意软件或系统漏洞来窃取密码的技术方法,而其中最难抵御的方法之一就是让用户在不知情的状况下主动披露自己的登录凭证。
是的,这就是网络钓鱼。具体来说,网络钓鱼就是诱骗用户访问假冒的钓鱼网站并将自己的登录凭证输入其中的一种技术手段。
我们经常会看到假冒的Gmail或Dropbox电子邮件,而且大多数用户都有能力判断这些邮件属于传统的钓鱼邮件。
试想一下,如果你收到一封自称为企业IT部门的电子邮件,内容为邀请用户登录新的人力资源系统。而企业又具备非常正规的沟通方式和渠道,那么这种通知方式就不免显得十分奇怪。
但是,如果情况并非如此,该电子邮件可能会提示用户点击链接,而且如果该钓鱼网站看起来足够有说服力的话,信任的用户甚至可能会输入自己的登录凭证,这样的话,攻击者的恶意目的就达成了。
所以说,企业应该如何防范这种网络钓鱼方式呢?
最好的防御措施之一就是尽可能地实施双因子身份认证。如果登录证书被盗用,攻击者在利用这些证书之前还需要第二个认证因素。这种措施无法阻止攻击者窃取登录凭证,但是能够有效地阻止攻击者成功利用这些获取到的凭证。
另一个重要的防御措施就是对用户进行安全培训。
对用户进行培训能够加深用户对网络钓鱼技能的认知,以便识别钓鱼行为。此外,还能使安全团队从用户行为(可能被技术人员认为是理所当然的行为)中学习到有价值的见解。
例如,用户可能会习惯假设组织已经对电子邮件进行了过滤,以防止任何恶意邮件通过,但是这种假设是错误的。无论多么高质量的电子邮件保护措施,都可能会无法避免地“放过”一些恶意电子邮件。
对于恶意网站也是如此。用户可能会理所当然地认为有保护措施已经对恶意网站进行了过滤,但是即便是最好的网页过滤工具也可能会漏过少数的恶意网站。
一旦用户能够了解到,任何安全工具无法完全保障百分百地阻止所有的恶意电子邮件或站点,他们才有可能形成一种高度的责任感,来帮助维护组织的网络安全。
此外,用户能够了解攻击者可以轻松地建立一个钓鱼网站也是非常重要的。
对攻击者而言,建立一个包含登录表单、标题和组织logo的网站是一件非常简单的事情。此外,攻击者还可以轻松地克隆任何公开可用的网页(甚至是您公司的网页),并注册一个类似的域名来迷惑用户。
更重要的是,攻击者还可以获得免费的证书来显示锁定图标,该图标只意味着该网站的URL与证书相匹配,且其流量已被加密,但是这并不能保证用户的安全。
用户是安全等式成立的重要组成部分。因此,重视用户培训使其能够做出正确和安全的选择,树立企业安全意识文化将帮助企业在安全态势中获取重大成功。
什么叫做网络掉鱼?
网络钓鱼(Phishing,与钓鱼的英语fishing发音相近,又名钓鱼法或钓鱼式攻击)是通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件,意图引诱收信人给出敏感信息(如用户名、口令、帐号 ID 、 ATM PIN 码或信用卡详细信息)的一种攻击方式。 最典型的网络钓鱼攻击将收信人引诱到一个通过精心设计与目标组织的网站非常相似的钓鱼网站上,并获取收信人在此网站上输入的个人敏感信息,通常这个攻击过程不会让受害者警觉。 它是“社会工程攻击”的一种形式。
世界高精端军事武器有哪些特点?大概就可以!光击防御武器有么?
核武器,大规模杀伤性武器,战略威慑作用。 光击防御武器可能有研究,不过很遥远。
SSL数字证书的部署有什么好处?
首先SSL证书是为网络通信提供安全及数据完整性的一种安全协议。 SSL证书是数字证书的一种,它是遵守SSL安全套接层协议的服务器证书,网站安装部署SSL证书,可实现网站身份验证和数据加密传输的功能。
网站部署SSL证书的好处:
1、网站实现加密传输,加强隐私安全保护
网站没安装SSL证书的话,是以HTTP协议来访问的,浏览器和服务器之间是明文传输,这意味着用户填写的账户信息、交易记录等隐私信息都是明文,存在被泄露、窃取及篡改的风险,容易被恶意攻击,给用户带来损失。
但网站安装SSL证书后,便可用https加密协议访问网站,浏览器和服务器之间通过安全协议实现双向加密传输,能有效防止数据被泄露或篡改,加强网站安全防护。
2、认证服务器真实身份,防止钓鱼网站仿冒
网站部署全球信任的SSL证书后,浏览器内置安全机制,实时查验证书状态,通过浏览器向用户展示网站认证信息,让用户轻松识别网站真实身份,防止钓鱼网站仿冒。
这里要注意的是,市面上SSL证书参差不齐,只有可信的证书才能通过浏览器安全审核。 安信SSL证书与多家全球知名的CA机构均有合作,SSL证书品牌种类丰富,有需要的朋友可以选择考虑下看看。
3、有利于提高网站搜索排名及收录
现在各个主流浏览器会优先收录以https开头的网站,即安装了SSL证书的网站,例如网络、谷歌等浏览器对https网站比较友好,搜索排名及收录往往会比较不错,但如果是没有安装SSL证书的网站,就会提示安全风险警告信息,给访问者带来不好的体验。
4、提高公司品牌形象和可信度
SSL证书有多种类型,按照验证等级不同,从低到高,主要分为域名型DV SSL证书、企业型OV SSL证书、增强型EV SSL证书。 安装了OV SSL证书或EV SSL证书的网站,访问者可以在浏览器地址栏查看到公司名称,另外EV证书会直接显示https绿色安全锁图标,用户可直观地了解到其访问的是安全可信的站点,可放心的进行操作和交易,有效提升公司的品牌形象和可信度。
发表评论