如何谨防钓鱼邮件侵袭?
想要获取更多信息,请关注微信公众号:道普信息
邮箱作为商务沟通、信息存储的载体,在办公中扮演着越来越重要的角色。然而近年来,网络中的钓鱼邮件无孔不入,花样百出的新鲜“钓鱼”骗术,总是令用户防不胜防。近日,某单位收到一封来自公司内部名为《财务部2023年第一季度个人劳动补贴申领通知》的邮件,部分员工按照附件要求扫码,并填写了银行账号等信息,最终不但没有等到所谓的补助,工资卡内的余额也被划走。
钓鱼邮件样例 图片来源:FREEBUF事实上,这只是邮件钓鱼威胁的冰山一角,据《2022年全球邮件威胁报告》显示,在2022年,全球每1000个邮箱,平均每月遭受的邮件攻击数量为299.27次(不含垃圾邮件),同比增加12.36%。其中钓鱼邮件占邮件攻击的绝大部分,高达68.47%。尤其对政企单位而言,尤其是关键时期的重点领域,电子邮件通常是正式沟通最常见的形式,也是更容易被高度信任的通信方式。钓鱼邮件攻击一旦奏效,攻击者不仅可以盗取目标信息、植入木马病毒、攻破内网终端,还能通过进一步渗透达到更高级别的攻击目的,必然会给组织带来严重的经济与名誉损失!
一、钓鱼邮件攻击路径分析
钓鱼邮件是指利用伪装的电子邮件,欺骗收件人将账号、口令等信息回复给指定的接收者,或引导收件人连接到特制的网页,一旦被勒索病毒入侵,轻则信息和数据被锁住,重则直接威胁企业的运营。钓鱼邮件攻击的套路大同小异,以上案例事件攻击路径分析如下:
攻击者定向获取通讯录分析职能架构,确定职能岗位人员邮箱。
利用综合管理类型人员邮箱,增加员工的信任度。
发送二维码式样带诱惑性(财务补贴)邮件,诱使点击。
转移到手机端要求填写银行卡密码进行诈骗。
网络用户是网络钓鱼攻击的直接目标,用户的安全意识也是第一道防线,用户对于收到的邮件一定要对发件地址、内部链接等内容仔细检查,任何时候都不要轻易打开其中的文件和链接,认为必须要打开的建议和发件人联系确认。
二、我国钓鱼邮件安全事件频发
我国在2022年遭受的钓鱼邮件攻击数量居世界第二位,相比2021年的增长达到了78%,网络钓鱼邮件诈骗数量明显增多,且已呈现泛滥之势。钓鱼邮件分为仿冒发件人邮件、链接钓鱼邮件、附件钓鱼邮件、鱼叉式钓鱼邮件、BEC钓鱼邮件等类型,通过各种伪装以假乱真,已跃然成为攻击成功率最高的方式之一。
2022年,国内重大钓鱼邮件事件包括:
某大学邮件系统遭受境外网络攻击,造成重大风险隐患。某知名企业内部邮箱被盗,多名员工被骗钱。某市多家豪华酒店遭遇钓鱼邮件攻击,窃取有较高知名度客人的敏感隐私数据。StrivePhish钓鱼组织发起大规模邮件钓鱼。某国黑客利用邮件持续攻击我国重点机构,达到长期窃取数据的目的。国内多家外企遭病毒邮件攻击。通过以上事件可以看出,钓鱼邮件危害巨大,轻则只对单个用户产生影响,重则造成组织敏感信息泄露,网络防护体系整体崩溃。
三、钓鱼邮件安全意识评估势在必行
据调查统计,企业平均每年要遭遇700次社会工程攻击,平均拥有1000个员工的机构每月收到116封电子邮件,其中有60%的邮件附带可疑链接被标记,也就是说,每一千员工的企业每月至少有14封网络钓鱼邮件被打开。道普信息风险管控专家表示,企业想要时时规避风险,提升网络安全指数,除了加强邮件安全防护体系建设外,也需要定期举行钓鱼邮件安全意识评估。
1、准备阶段
在前期调研过程中,掌握企业安全意识基本情况,并协助企业确定标靶网站及测评对象。
2、定制阶段
在钓鱼邮件主题及邮件内容设计阶段,则要根据企业实际调研情况,针对性的选择钓鱼邮件主题。
3、测试阶段
确定和制作钓鱼邮件样例后,实施定性测试定制化工作完成后在测评小组内部进行钓鱼邮件测试。
4、评估总结阶段
批量发送钓鱼邮件后,在规定时间内对结果收集,并对客户行为数据统计分析,形成钓鱼邮件测试报告。
如今随着数字化的高速发展,各类陷阱邮件层出不穷。政企用户是网络钓鱼攻击的主要目标,用户的安全意识也是第一道防线,用户对于收到的邮件一定要仔细核对发件地址、内部连接等内容仔细检查。道普信息风险管控专家强调,通过钓鱼邮件安全意识测评服务,有效发现薄弱环节与人员,记录被测对象在测评过程中的行为数据,使客户认知自身安全意识水平的基础上同步提升企业员工安全意识,减少成本,促使企业发现自身潜在问题,及时改善,保障企业安全运营。