網絡釣魚案例及防御措施
我們知道許多通過惡意軟件或系統漏洞來竊取密碼的技術方法,而其中最難抵御的方法之一就是讓用戶在不知情的狀況下主動披露自己的登錄憑證。
是的,這就是網絡釣魚。具體來說,網絡釣魚就是誘騙用戶訪問假冒的釣魚網站并將自己的登錄憑證輸入其中的一種技術手段。 我們經常會看到假冒的Gmail或Dropbox電子郵件,而且大多數用戶都有能力判斷這些郵件屬于傳統的釣魚郵件。
但是,一旦釣魚郵件涉及工作相關內容或看似來自其他可信來源時,用戶便難以判斷其真偽。 試想一下,如果你收到一封自稱為企業IT部門的電子郵件,內容為邀請用戶登錄新的人力資源系統。而企業又具備非常正規的溝通方式和渠道,那么這種通知方式就不免顯得十分奇怪。 但是,如果情況并非如此,該電子郵件可能會提示用戶點擊鏈接,而且如果該釣魚網站看起來足夠有說服力的話,信任的用戶甚至可能會輸入自己的登錄憑證,這樣的話,攻擊者的惡意目的就達成了。 所以說,企業應該如何防范這種網絡釣魚方式呢? 最好的防御措施之一就是盡可能地實施雙因子身份認證。如果登錄證書被盜用,攻擊者在利用這些證書之前還需要第二個認證因素。這種措施無法阻止攻擊者竊取登錄憑證,但是能夠有效地阻止攻擊者成功利用這些獲取到的憑證。 另一個重要的防御措施就是對用戶進行安全培訓。 對用戶進行培訓能夠加深用戶對網絡釣魚技能的認知,以便識別釣魚行為。此外,還能使安全團隊從用戶行為(可能被技術人員認為是理所當然的行為)中學習到有價值的見解。 例如,用戶可能會習慣假設組織已經對電子郵件進行了過濾,以防止任何惡意郵件通過,但是這種假設是錯誤的。無論多么高質量的電子郵件保護措施,都可能會無法避免地“放過”一些惡意電子郵件。 對于惡意網站也是如此。用戶可能會理所當然地認為有保護措施已經對惡意網站進行了過濾,但是即便是最好的網頁過濾工具也可能會漏過少數的惡意網站。 一旦用戶能夠了解到,任何安全工具無法完全保障百分百地阻止所有的惡意電子郵件或站點,他們才有可能形成一種高度的責任感,來幫助維護組織的網絡安全。 此外,用戶能夠了解攻擊者可以輕松地建立一個釣魚網站也是非常重要的。 對攻擊者而言,建立一個包含登錄表單、標題和組織logo的網站是一件非常簡單的事情。此外,攻擊者還可以輕松地克隆任何公開可用的網頁(甚至是您公司的網頁),并注冊一個類似的域名來迷惑用戶。
更重要的是,攻擊者還可以獲得免費的證書來顯示鎖定圖標,該圖標只意味著該網站的URL與證書相匹配,且其流量已被加密,但是這并不能保證用戶的安全。 用戶是安全等式成立的重要組成部分。因此,重視用戶培訓使其能夠做出正確和安全的選擇,樹立企業安全意識文化將幫助企業在安全態勢中獲取重大成功。 來源:安全牛
