網絡釣魚測試：打造人類防火(huǒ)牆

網絡釣魚已成全球企業的主要威脅。

 

網絡釣魚，是發送非法電(diàn)子郵件引誘終端用戶做出響應的一(yī)種操作——無論用戶的響應是點擊可緻惡意軟件感染的鏈接，還是拱手交出平時不太可能告訴别人的口令之類敏感信息。

令人毛骨悚然的是，所有迹象都表明，網絡釣魚攻擊越來越普遍了。Webroot表示，每個月都有近150萬個新的網絡釣魚登錄頁面被創建。爲什麽網絡釣魚如此流行？原因有以下(xià)幾點：

首先，這種操作成本非常低。發送電(diàn)子郵件基本上是免費(fèi)的，隻需要花點時間編寫下(xià)内容即可。不僅如此，電(diàn)子郵件賬戶簡直無處不在。人們通常至少有2-3個電(diàn)子郵件賬戶，比如私人電(diàn)子郵件賬戶、公司電(diàn)子郵件賬戶、社交媒體(tǐ)賬戶等。這些賬戶可以從多台設備訪問，智能手機、平闆電(diàn)腦，還有其他個人和公司設備都可以。

于是，想要展開(kāi)網絡釣魚攻擊的壞人，用一(yī)封郵件，就可以染指多台設備；而如果向同一(yī)個人的多個電(diàn)子郵件賬戶發起網絡釣魚嘗試，攻擊者的戰果甚至還能更豐富些。重大(dà)網絡安全事件的根源，就是那小(xiǎo)小(xiǎo)不言的一(yī)次錯誤點擊。

　　網絡釣魚測試是什麽？

網絡釣魚測試或許是公司企業可采取的最有效網絡防護措施之一(yī)了。

網絡釣魚測試，就是創建一(yī)封虛假網絡釣魚郵件，然後發送給指定用戶組。用戶收到該郵件時，可以像平時對待普通郵件那樣處理。但當他們點擊了郵件中(zhōng)的鏈接，就會被重定向到某種形式的登錄頁面。

取決于測試的目标，該頁面可以是常見的“404錯誤”網頁(如果你不希望用戶知(zhī)道自己在被測試的話(huà))，也可以是網絡釣魚和其他安全威脅的普及教育頁面，幫助員(yuán)工(gōng)樹(shù)立起更強的安全意識。有關該郵件的數據，比如誰收到了郵件、誰點擊了裏面的鏈接等等，也同時被收集起來用以後續分(fēn)析。

通常，公司管理層會與IT顧問一(yī)起審閱測試結果，讨論怎樣提升安全意識，或者，有必要的話(huà)，打造更健壯的安全态勢。

　　爲從網絡釣魚測試中(zhōng)收獲更多價值，最好每年多進行幾次測試，定期向用戶發送不同類型的電(diàn)子郵件。這些郵件的内容應多種多樣，且因受衆而異。

比如說，醫療系統中(zhōng)工(gōng)作的員(yuán)工(gōng)，就應該至少接受一(yī)次看起來與醫療行業問題相關的網絡釣魚測試。基本上，要夯實安全意識，就得讓這些測試更具欺騙性。換句話(huà)說，如果你能教會用戶識别沒那麽容易認出的虛假網絡釣魚郵件，他們就更有可能避免被真實攻擊釣上。

另外(wài)，建議區分(fēn)用戶，因材施教。對在識别網絡釣魚郵件上有困難的用戶，增加額外(wài)的定制培訓。某些用戶在網絡釣魚測試中(zhōng)接受經驗教訓很快，初始測試過後就大(dà)幅降低了釣魚鏈接點擊率，但有些用戶難免會困難些。

這種有區别的處理方式，可以讓防騙教育接受有困難的用戶，在将來樹(shù)立起更好的安全意識，降低他們的風險。

　　我(wǒ)的公司也需要進行網絡釣魚測試？

大(dà)多數情況下(xià)，是的——你的公司需要這麽做。不僅僅是某些合規标準要求安全意識培訓，有時候甚至特别指定了網絡釣魚測試；而且大(dà)多數員(yuán)工(gōng)并未準備好應對及識别網絡釣魚，也是個非常明顯的外(wài)部威脅。

網絡釣魚詐騙瞄準的是終端用戶的疏忽大(dà)意，鑒于此攻擊的廣泛性，某人防範意識缺乏而掉坑造成嚴重影響的情況，真的僅僅是個概率問題。隻要你指望自己的員(yuán)工(gōng)經常通過電(diàn)子郵件來做業務，你就能感受到這一(yī)威脅給你的公司風險管理帶來的巨大(dà)挑戰。

一(yī)次重大(dà)網絡安全事件，比如勒索軟件攻擊，給公司帶來的損失，遠比受控網絡釣魚測試和網絡安全意識培訓項目的開(kāi)銷要大(dà)得多。