宏虹分享 | 提升企業防護:KnowBe4助力識別與防止網路釣魚攻擊

近年來,不法分子的攻擊手段愈發多樣且層出不窮——勒索軟體(Ransomware)、企業電子郵件攻擊(Business Email Compromise,BEC)、CEO 欺詐(CEO scam/fraud)、魚叉式網路釣魚(spear phishing)、語音釣魚(vishing)等等。許多企業客戶已經因此蒙受數據洩露等損失,逐漸開始著眼于提升員工安全意識,建立企業安全文化。

什麼是網路釣魚

網路釣魚是一種社會工程攻擊,透過偽裝成可信的個人或機構來誘騙目標洩露敏感資訊(如用戶名、密碼、信用卡號等),或者點擊惡意連結,導致惡意軟體安裝或進一步的網路攻擊。據調查91% 的成功數據洩露都是從魚叉式網路釣魚攻擊開始的。

網路釣魚通常透過以下方式實施:

  • 偽造電子郵件或簡訊。釣魚攻擊通常透過發送相同的郵件給大量使用者,要求填寫個人資訊。這些資訊將被攻擊者用於非法活動。郵件通常帶有緊急提示,要求使用者輸入憑證更新帳戶資訊或驗證帳戶,或者透過連結填寫表格以訪問新服務。
  • 創建虛假的網站,模仿合法機構的網站外觀。網站偽造的目的是讓使用者輸入可用於詐騙或對受害者發起進一步攻擊的資訊。
  • 使用社交媒體消息進行誘導。例如,詐騙簡訊試圖透過指向網路釣魚網站的連結來誘騙受害者洩露個人資訊。
  • 魚叉式網路釣魚。駭客想要攻擊的目標是特定的個人或組織,他們想要的是比信用卡數據更有價值的資訊。他們會對目標進行研究,使攻擊更加個性化,增加成功的機會。
  • 在語音網路釣魚中,網路釣魚者會打電話給用戶並要求用戶撥打號碼。目的是透過電話獲取銀行帳戶的個人資訊。語音釣魚主要是透過偽造的來電顯示完成的。
  • 涉及惡意軟體的網路釣魚詐騙需要在使用者的電腦上運行。惡意軟體通常附加在網路釣魚者發送給使用者的電子郵件中。一旦您點擊該連結,惡意軟體就會開始運行。有時,惡意軟體也可能附加到可下載的檔中。
  • 惡意廣告是包含惡意腳本的廣告,用於下載惡意軟體或強制將不良內容推送到使用者電腦上。常見的攻擊方式包括利用Adobe PDF和Flash中的漏洞。

網路釣魚攻擊的目標包括個人和企業,目的是竊取資訊、獲取財務利益或破壞業務。

參加我們的元旦抽獎,有機會贏取 Appel Music 永久免費資格!

圖1、經典網路釣魚電子郵件

如何識別和阻止網路釣魚

安全主管需要知道員工收到釣魚郵件時會發生什麼:他們會點選連結嗎?被誘騙洩露憑證嗎?下載帶有惡意軟體的附件嗎?他們會直接忽略或刪除電子郵件而不適當通知他們的安全團隊嗎?還是他們會報告可疑的網路釣魚並在人為防禦層中發揮積極作用?透過提供識別和應對潛在威脅所需的知識、技能和工具,企業可以將員工從負擔轉變為強大的資產。

如何識別網路釣魚

  1. 檢查寄件者地址仔細核對郵件寄件者的位址是否與合法機構一致,注意細微的拼寫差異。
  2. 警惕不合理的緊急請求釣魚資訊常包含緊急措辭(如“立即驗證帳戶”),目的是讓受害者倉促操作。
  3. 分析連結和附件不點擊郵件或簡訊中的可疑連結。滑鼠懸停在連結上,檢查是否指向可信網站。
  4. 避免洩露敏感資訊正規機構通常不會透過電子郵件或簡訊要求提供密碼、銀行帳戶等資訊。
  5. 檢查語法和排版釣魚資訊常含有拼寫、語法錯誤或不符合正規品牌風格的設計。

如何阻止網路釣魚

  1. 教育和培訓提高員工和個人的安全意識,教會他們識別釣魚攻擊。
  2. 郵件過濾部署反釣魚郵件閘道,攔截惡意郵件。
  3. 多因素認證(MFA)即使帳戶憑證被盜,MFA也能增加一層保護。
  4. 監控和日誌記錄及時發現異常活動。
  5. 安全補丁確保作業系統、流覽器和安全軟體保持最新。
  6. 測試透過模擬釣魚測試來評估和增強員工的防護能力。

KnowBe4 如何幫助企業建立安全意識

KnowBe4 是一個致力於提供安全意識培訓和釣魚類比服務的平臺,説明企業減少因人為錯誤導致的網路威脅。它集網路釣魚、安全培訓、安全分析與一體,其服務包括:

有效且真實的釣魚模擬測試

  1. 提供基線測試,透過免費的類比網路釣魚攻擊來評估使用者的 Phish-prone™ 百分比。
  2. 部署一流的、全自動的類比網路釣魚攻擊、數千個無限制使用的範本、自訂網路釣魚範本以及社區網路釣魚範本。
  3. 根據使用者的培訓和網路釣魚歷史記錄,使用人工智慧來推薦和提供知情且個性化的網路釣魚活動。類比真實的網路釣魚場景,測試員工的反應和應對能力。

即時分析和報告

  1. 提供詳細報告,展示安全意識培訓和網路釣魚的統計數據和圖表,説明企業瞭解安全意識薄弱點並針對性改進。
  2. 企業級報告為用戶提供了 60 多個內置報告的集合,其中的見解可提供整個企業隨時間變化的整體視圖。
  3. 透過執行報告,用戶將收到高級執行級報告,以便幫助企業的安全計畫做出有效的數據驅動決策。
  4. 最後,企業可以使用行業基準將自己的網路釣魚傾向百分比、安全意識熟練度分數和安全文化分數與行業中的其他企業進行比較。

全面的安全意識培訓

  1. 提供結構化的培訓計畫,涵蓋網路釣魚、社會工程、惡意軟體識別等。
  2. 提供世界上最大的安全意識培訓內容庫;包括互動式模組、影片、遊戲、海報和新聞通訊。
  3. 擁有移動端的APP,可隨時隨地在手機、平板等終端上輕鬆查看培訓互動模組影片。
  4. 透過 KnowBe4,企業可以利用用戶評估來發現在整個安全意識培訓過程中,企業的用戶既瞭解安全知識又瞭解安全文化。企業還將收到基於網路釣魚安全測試活動中用戶表現指標的人工智慧驅動的培訓建議。
持續學習計畫

供更新的培訓內容,確保員工瞭解最新的攻擊手段

透過遊戲化學習(如安全問答)、定期網路釣魚測試等提高參與度

社會工程指標 (SEI) 將每封類比網路釣魚電子郵件轉變為可用於動態培訓員工的工具。企業還可以透過回檔網路釣魚來測試使用者的安全意識,其中包括在單個類比網路釣魚活動中發送類比電子郵件和電話
自動化平臺支援

平臺可以按需定制培訓內容,並附有定時提醒電子郵件

自動化的郵件發送和報告生成功能,減少管理工作量

優勢:透過安全意識培訓和持續測試,KnowBe4 能幫助企業顯著降低因釣魚攻擊導致的安全事件,同時強化企業文化中的安全意識。

圖2、KnowBe4 網路釣魚報告部分內容展示

圖4:KnowBe4 培訓庫部分內容展示

圖3、KnowBe4 培訓庫部分內容展示

如果您對此感興趣,歡迎您關注我們獲取更多文章資訊,如有任何問題,也歡迎聯絡我們!

Tags: , , , ,