網絡釣魚已成全球企業的主要威脅。

[[211552]]

網絡釣魚，是發送非法電子郵件引誘終端用戶做出響應的一種操作——無論用戶的響應是點擊可致惡意軟件感染的鏈接，還是拱手交出平時不太可能告訴別人的口令之類敏感信息。

令人毛骨悚然的是，所有跡象都表明，網絡釣魚攻擊越來越普遍了。Webroot表示，每個月都有近150萬個新的網絡釣魚登錄頁面被創建。為什么網絡釣魚如此流行?原因有以下幾點：

首先，這種操作成本非常低。發送電子郵件基本上是免費的，只需要花點時間編寫下內容即可。不僅如此，電子郵件賬戶簡直無處不在。人們通常至少有2-3個電子郵件賬戶，比如私人電子郵件賬戶、公司電子郵件賬戶、社交媒體賬戶等。這些賬戶可以從多臺設備訪問，智能手機、平板電腦，還有其他個人和公司設備都可以。

于是，想要展開網絡釣魚攻擊的壞人，用一封郵件，就可以染指多臺設備;而如果向同一個人的多個電子郵件賬戶發起網絡釣魚嘗試，攻擊者的戰果甚至還能更豐富些。重大網絡安全事件的根源，就是那小小不言的一次錯誤點擊。

網絡釣魚測試是什么?

網絡釣魚測試或許是公司企業可采取的最有效網絡防護措施之一了。

網絡釣魚測試，就是創建一封虛假網絡釣魚郵件，然后發送給指定用戶組。用戶收到該郵件時，可以像平時對待普通郵件那樣處理。但當他們點擊了郵件中的鏈接，就會被重定向到某種形式的登錄頁面。

取決于測試的目標，該頁面可以是常見的“404錯誤”網頁(如果你不希望用戶知道自己在被測試的話)，也可以是網絡釣魚和其他安全威脅的普及教育頁面，幫助員工樹立起更強的安全意識。有關該郵件的數據，比如誰收到了郵件、誰點擊了里面的鏈接等等，也同時被收集起來用以后續分析。

通常，公司管理層會與IT顧問一起審閱測試結果，討論怎樣提升安全意識，或者，有必要的話，打造更健壯的安全態勢。

為從網絡釣魚測試中收獲更多價值，最好每年多進行幾次測試，定期向用戶發送不同類型的電子郵件。這些郵件的內容應多種多樣，且因受眾而異。

比如說，醫療系統中工作的員工，就應該至少接受一次看起來與醫療行業問題相關的網絡釣魚測試。基本上，要夯實安全意識，就得讓這些測試更具欺騙性。換句話說，如果你能教會用戶識別沒那么容易認出的虛假網絡釣魚郵件，他們就更有可能避免被真實攻擊釣上。

另外，建議區分用戶，因材施教。對在識別網絡釣魚郵件上有困難的用戶，增加額外的定制培訓。某些用戶在網絡釣魚測試中接受經驗教訓很快，初始測試過后就大幅降低了釣魚鏈接點擊率，但有些用戶難免會困難些。

這種有區別的處理方式，可以讓防騙教育接受有困難的用戶，在將來樹立起更好的安全意識，降低他們的風險。

我的公司也需要進行網絡釣魚測試?

大多數情況下，是的——你的公司需要這么做。不僅僅是某些合規標準要求安全意識培訓，有時候甚至特別指定了網絡釣魚測試;而且大多數員工并未準備好應對及識別網絡釣魚，也是個非常明顯的外部威脅。

網絡釣魚詐騙瞄準的是終端用戶的疏忽大意，鑒于此攻擊的廣泛性，某人防范意識缺乏而掉坑造成嚴重影響的情況，真的僅僅是個概率問題。只要你指望自己的員工經常通過電子郵件來做業務，你就能感受到這一威脅給你的公司風險管理帶來的巨大挑戰。

一次重大網絡安全事件，比如勒索軟件攻擊，給公司帶來的損失，遠比受控網絡釣魚測試和網絡安全意識培訓項目的開銷要大得多。