防止员工被钓鱼攻击的11个技巧
[摘要]
在电子通信中,犯罪份子通过伪装成可信任的实体,试图获取敏感信息(如用户名、口令、信用卡等的细节),这个过程称为网络钓鱼。
……
在电子通信中,犯罪份子通过伪装成可信任的实体,试图获取敏感信息(如用户名、口令、信用卡等的细节),这个过程称为网络钓鱼。
声称来自流行的社交网站、拍卖网站、在线支付处理程序或IT管理员的通信,通常用于诱惑天真的或盲目信任的公众。钓鱼一般是通过电子邮件或即时通信来进行的,它通常引导用户在一个看似与合法网站相同的虚假网站中输入相关敏感信息的细节。大量的事实表明,钓鱼攻击给企业造成的损失可以说已经到了非常危险的程度。
企业可教育员工采取如下措施避免被钓鱼:
1、怀疑一切。要教育员工,千万不要响应要求员工输入金融信息的电子邮件:应当对要求口令或账户细节的任何电子邮件持怀疑态度,或是包含此目的的链接。要让员工知道,没有哪家银行或金融机构会向用户发送这类邮件。在单击任何链接之前,要三思而后“点”。要猜想,在单击了这个链接后会将用户带到哪里去。
2、要教育员工,在看到一份警告邮件,并告诉用户其账户受到破坏时,要格外当心。钓鱼邮件通常都有警告信息,如你的账户细节已被窃等。不管何时收到这样的邮件,都要直接访问银行的网站,并向银行报告。不要以任何方式响应钓鱼邮件,要让它呆在垃圾邮件箱中。
3、要教育员工当心:钓鱼邮件通常都使用一般性的问候。这是因为这样的一个事实:在多数情况下,钓鱼者并没有拥有员工完整的身份信息,它们会批量发送邮件,这种邮件在称呼开头无法标明真实姓名。典型的钓鱼邮件一般这样称呼受骗者:“尊贵的客户”。
4、查找错误的拼写或替换字符(例如,将information 成了1nformati0n):插入这种拼写的原因是为了绕过反垃圾邮件的检查。
5、千万不要单击嵌入的链接:如果员工感到必须进入邮件,可在浏览器中直接输入链接地址。还可以使用浏览器的内置搜索窗口。通常情况下,这样做通常能捕获钓鱼攻击。
6、教育员工经常检查账户。在涉及到网络信息时,不管员工如何谨慎和聪明,总有可能受骗。要让其养成一个经常登录进入在线账户的习惯,还要检查相关陈述和说明,看看有没有异常。
7、对员工的Web活动进行限制。色情网站、销售毒品的网站、游戏网站、BT网站、p2p网络、免费软件的下载网站都是高风险的区域。一定要让员工理解,天上不会掉馅饼。要教育员工,有些所谓的免费软件都包含着恶意脚本,可以极大地危害用户计算机的安全性。
8、查找https://,确保所访问的网站是安全的。要检查地址栏中的Web地址,如果所访问的网站位于安全服务器上,此地址就应当以https://开头而不是平常的http://。
9、察看浏览器的状态栏:将鼠标指针放在钓鱼邮件的链接上,查看浏览器的状态栏。记住,URL所指向的真实位置可能与用户在浏览器中看到的完全不同。真正的目的地位于浏览器的状态栏中。
10、保持计算机的安全。反垃圾邮件软件可以防止钓鱼邮件侵害用户。防火墙可以阻止未授权的通信。用户应当运行反病毒软件来检测并禁用恶意程序,包括间谍软件和后门木马。对普通用户来说,安装最新的安全补丁,保持浏览器的最新是至关重要的。
11、报告可疑活动:如果用户收到了一份可疑的邮件,不妨将其转发给被冒充的单位。许多公司都有专用的邮件地址来报告和处理这种邮件滥用。
