前言
近年來,不法分子的攻擊手段愈發多樣且層出不窮——勒索軟體(Ransomware)、企業電子郵件攻擊(BEC)、CEO 欺詐、魚叉式網路釣魚(spear phishing)、語音釣魚(vishing)等手段 ,日益猖獗,許多企業客戶已經因此蒙受數據洩露等損失。 他們逐漸開始著眼於提升員工安全意識,建立企業安全文化。
什麼是網路釣魚
網路釣魚是一種社會工程攻擊,透過偽裝成可信的個人或機構來誘騙目標洩露敏感資訊(如用戶名、密碼、信用卡號等),或者點擊惡意連結,導致惡意軟體安裝或進一步的網路攻擊。據調查91% 的成功數據洩露都是從魚叉式網路釣魚攻擊開始的。
網路釣魚通常透過以下方式實施:
- 偽造電子郵件或簡訊:釣魚攻擊常發送相同郵件給大量使用者,要求填寫個人資訊,並帶有緊急提示誘使更新或驗證帳戶。
- 創建虛假的網站:模仿合法機構的網站外觀,誘使使用者輸入敏感資訊以進行詐騙或後續攻擊。
- 利用社交媒體消息:指向釣魚網站的連結,試圖洩露個人資訊。
- 魚叉式網路釣魚:針對特定個人或組織進行個性化攻擊,增加成功率。
- 語音釣魚:透過偽造來電顯示聯繫目標,要求提供銀行帳戶等個人資訊。
- 附帶惡意軟體的釣魚攻擊:一旦點擊郵件連結或附件,惡意軟體就開始運行。
- 惡意廣告:利用含有惡意腳本的廣告下載惡意軟體或推送不良內容,常利用 Adobe PDF 或 Flash 漏洞進行攻擊。
網路釣魚攻擊的目標包括個人和企業,其目的是竊取資訊、獲取財務利益或破壞業務。
圖1、經典網路釣魚電子郵件
如何識別和阻止網路釣魚
安全主管需要知道員工收到釣魚郵件時會發生什麼情況:是否點選連結、洩露憑證、下載惡意附件,或直接忽略且未通知安全團隊。透過提供識別與應對潛在威脅所需的知識、技能和工具,企業能將員工從安全負擔轉變為有力資產。
如何識別網路釣魚
- 檢查寄件者地址:仔細核對郵件寄件者是否與合法機構一致,注意拼寫差異。
- 警惕不合理的緊急請求:釣魚資訊常用「立即驗證帳戶」等措辭迫使受害者倉促操作。
- 分析連結和附件:避免點擊可疑連結,滑鼠懸停後檢查連結是否指向可信網站。
- 避免洩露敏感資訊:正規機構通常不會透過郵件要求提供密碼、銀行帳戶等資訊。
- 檢查語法和排版:釣魚郵件常含拼寫或語法錯誤,設計上也可能與品牌風格不符。
如何阻止網路釣魚
- 教育和培訓:提高員工安全意識,教授如何識別釣魚攻擊。
- 部署郵件過濾:利用反釣魚郵件閘道攔截惡意郵件。
- 實施多因素認證(MFA):增加額外保護,即使憑證被盜也能防範未授權存取。
- 監控與日誌記錄:及時發現異常活動,便於迅速響應。
- 保持安全補丁更新:確保作業系統、瀏覽器和安全軟體始終更新。
- 定期進行釣魚模擬測試:評估並提升員工的防護能力。
KnowBe4 如何幫助企業建立安全意識
KnowBe4 是一個致力於提供安全意識培訓和釣魚類比服務的平臺,說明企業如何減少因人為錯誤導致的網路威脅。它集網路釣魚、安全培訓和安全分析於一身,其服務包括:
有效且真實的釣魚模擬測試
- 提供基線測試,透過免費的類比網路釣魚攻擊來評估使用者的 Phish-prone™ 百分比。
- 部署一流的、全自動的類比網路釣魚攻擊、數千個無限制使用的範本、自訂網路釣魚範本以及社區網路釣魚範本。
- 根據使用者的培訓和網路釣魚歷史記錄,使用人工智慧來推薦並提供知情且個性化的網路釣魚活動。
即時分析和報告
- 提供詳細報告,展示安全意識培訓與網路釣魚的統計數據和圖表,協助企業瞭解安全薄弱點並進行針對性改進。
- 企業級報告提供 60 多個內置報告集合,可檢視整個企業隨時間變化的整體視圖。
- 透過執行報告,用戶可取得高級執行級報告,以協助安全計畫做出數據驅動決策。
- 也可透過行業基準,將自己的網路釣魚傾向百分比與其他企業比較。
全面的安全意識培訓
- 提供結構化的培訓計畫,涵蓋網路釣魚、社會工程、惡意軟體識別等。
- 擁有世界上最大的安全意識培訓內容庫,包括互動式模組、影片、遊戲、海報和新聞通訊。
- 亦支援移動端 APP,讓員工能隨時隨地查看培訓互動模組影片。
| 持續學習計畫 |
|
|---|---|
| 社會工程指標 (SEI) | 將每封類比網路釣魚電子郵件轉變為可用於動態培訓的工具。 企業還可以透過回檔網路釣魚來測試使用者的安全意識,其中包括在單個類比網路釣魚活動中發送類比電子郵件和電話。 |
| 自動化平臺支援 | 平臺可以按需定制培訓內容,並附有定時提醒電子郵件。 自動化的郵件發送與報告生成功能,減少管理工作量。 |
| 優勢 | 透過安全意識培訓和持續測試,KnowBe4 能幫助企業顯著降低因釣魚攻擊導致的安全事件,同時強化企業文化中的安全意識。 |
圖2、KnowBe4 網路釣魚報告部分內容展示
圖3、KnowBe4 培訓庫部分內容展示
產品推薦
