企业:Phishers不仅仅是为你而来。他们也为您的员工和您的客户提供。

网络钓鱼攻击是在今年的上升这在一定程度上要归功于大规模的Emotet和TrickBot活动,它们利用钓鱼邮件来传递它们的有效信息。如果还没有,那么是时候实施反钓鱼计划了。

在涉及到钓鱼的地方,是否使用这种技术并不重要是革命性的或旧帽子。有人,某个地方会堕落。这取决于您和您的员工,以确保您的业务是安全的,并且您的客户也正在执行安全的电子邮件实践。

如果您的客户正在登录虚假的门户网站,最终他们将捆绑您的支持渠道,要求帮助,退款,重新排序等等。如果您的员工被Stung,他们将门口与数据盗窃,网络渗透,赎金需求,间谍以及贵公司的声誉进行了大规模凹陷。

所有这些都是错误的方向。所以,让我们先来看看一些网络钓鱼活动的目标。然后,我们将讨论你的员工和客户可以做什么来识别网络钓鱼。

phishers的目标

2018年网络钓鱼趋势与情报报告PDF来自Phishlabs指出,电子邮件/在线服务是2017年下半年的顶级目标行业,其利润率为26.1%,具有高浓度的网络钓鱼URL,模仿Microsoft Office 365登录页面。

Office 365与Microsoft非常流行必威官网多少在2016年揭示那是:

  • 6000万活跃商业客户
  • 每个月新增5万个小企业客户
  • 3.4亿下载其移动应用程序

和我们一样2019年恶意软件报告状态显示,恶意软件攻击者没有独自留下的工业部门。2018年在制造,教育和零售方面诱饵的特洛伊木马(包括肌肉和娱乐),在2018年与网络钓鱼电子邮件。和赎金软件,这也是网络钓鱼攻击的热门有效载荷,政府中有残缺的组织,以及教育,制造业,零售。

然而,在那些垂直的垂直之外,Phishers知道每个企业都坐在多汁的东西上:个人身份信息(PII)。对于任何垂直的任何组织就是坐在客户名称,电子邮件及其付款细节的数据库上。

这是瞄准的大量潜在目标。

我们应该做什么?

虽然几乎不可能预测每一个威胁模型,或者攻击者可能想用您公司的数据做什么,但您可以通过制定一个明确的反钓鱼计划,更好地挫败钓鱼攻击。没有比现在更好的时机来增强你的网络安全政策对于员工,以及更新您的网站,并为您的客户提供坚实的防护中钓鱼技巧。

如果您对如何帮助您的员工和客户识别网络钓鱼尝试的一些想法,我们有一个方便的介绍性列表。

给员工的反网络钓鱼提示

  1. 附件并不总是保证恶意软件。通常,phishers将完全清洁文件作为额外的信心伎俩。“请填写这一点并发回来,”他们会说。说过,许多Phish运动会很乐意尝试用rogue文件追溯到一个网络尝试。在疑问时,请勿打开文件。相反,尝试联系您在电子邮件中列出的组织中的某人以确认。
  2. 移动设备面临的风险尤其大冗长的诈骗网址,因为可见部分可以定制以表达合法,但其余的 - 它会给游戏远离游戏。在他们的手机上检查电子邮件或浏览互联网的员工应始终在单击之前始终查看整个URL。如果看起来很可疑,或者使用数字或特有的字母代替您的期望在那里,最好立即离开。
  3. 可疑的应用程序也是一个潜在的问题,因此最好审核您计划在工作移动设备或桌面上安装的应用程序,并使用鹰眼。标志是一样的吗?用户体验是否符合您的期望?
  4. 在社交媒体上促进内容导致网络钓鱼,建议所有员工和客户注意这一点是值得的——尤其是当广告往往针对你的兴趣(谢谢,追踪者)。While you may not want to prohibit use of social media at work entirely (especially as it’s part of the job for many folks in marketing), recommending that users not engage on social media from work devices, or limiting their engagements to work-specific tasks, could help thwart phishing attempts.
  5. 有点小众,但你可能希望建议员工不要浪费垃圾邮件发送者/钓鱼者的时间这些策略中的任何一个在工作时间。使用个人账户很有趣,但回复任何与工作相关的内容可能会非常糟糕。坏家伙知道你的工作邮件的存在,他们要么就会大力发送垃圾邮件,给你发送更多垃圾邮件,要么就会比以前更关注你的业务。

为您的客户提供防护策略

  1. 看看来自最大品牌的一些反对派页面。你会注意到他们都提到了最明显的攻击形式。如果您是eBay,您将看到客户发送假拍卖枚举,或“拍卖问题”的攻击。如果您是Steam,它将是“您的市场项目问题”或免费游戏键。一个银行?它将是虚假的重新认证邮件。对于Apple,它将是待退款的问题,但他们不记得购买的物品。这就是你应该如何领导收费。
  2. 请指出,挂锁的存在并不能保证他们上的网站是真实的。如今,网站的证书很容易免费获得,骗子们正充分利用这一点。几年前,告诉人们“避开没有挂锁的网站,因为它不是真的”可能有用,但游戏已经改变,我们的信息也必须改变。
  3. 警告他们错误的拼写、格式错误和“发件人”中可疑的电子邮件地址。还要提到,许多钓鱼者在“发件人”字段中欺骗邮件,所以这也不是安全的保证。可能格式和设计与您通常从组织收到的不同。也许标志看起来像素化了,或者按钮是不同的颜色。可能性是无穷无尽的。
  4. 绝望是一个错误的迹象,某些东西可能是错误的。这是恐慌的购买,但不是我们所知道的。电子邮件宣称登录并执行动作的紧密时间限制,以及永远失败X或Y的威胁,是一个很好的迹象。
  5. 提醒他们不要发询问额外个人信息的邮件(如果你的公司也发这样的邮件,试着戒掉这种做法)。链接到要求登录的网站是不好的做法。训练你的客户和员工改掉这个习惯。如果他们不去点击询问信息的链接,这场战斗就已经胜利了一半。
  6. 电子邮件上显示的URL和鼠标悬停在链接上时显示的URL是不同的。老掉牙,但很好吃。

我的业务使用Office365,我还能做什么?

微软有A.方便的安全建议列表让您部署在您的网络上。建议包括:

最后

谷歌已经提出了短暂的,有趣,困难抗网钓鱼试验。安全地体验一些常见的网络钓鱼技术是一种很好的方式。在安全环境中体验真正的网络钓鱼例子,没有多少种方法,所以值得一开始。你可能会发现你在那里有几个策略没有见过,并且在一些左上场网络钓鱼技术上测试员工总是一个好主意。但是,您可以选择为您的组织提供反网络钓鱼计划,我们祝您提前多年安全电子邮件。