如何保护自己免受鱼叉式网络钓鱼攻击

虽然我们通常关注个人网络安全，但今天我们想提请您注意一种主要针对企业和公司的网络安全威胁。此时您可能对网络钓鱼了解很多，我们还介绍了保护自己免受网络钓鱼诈骗的方法 。但是，在这篇文章中，我们想讨论鱼叉式网络钓鱼，以及这类攻击可能对企业造成什么影响。我们将讨论鱼叉式网络钓鱼的本质，这些类型的网络攻击被认为是当今最严重的网络威胁之一，以及企业应采取哪些措施来避免它们。

Spear Phishing是什么？

当我们比较钓鱼和长矛钓鱼时，我们可以本能地告诉我们，前一种活动是基于鱼类迟早会吃诱饵的假设。后一项活动显然更有针对性和针对性。你不要等鱼钓鱼诱饵。

从这个类比，我们可以得到鱼叉式网络钓鱼的主要印象。此犯罪活动针对具有自定义消息的特定用户。虽然通常的网络钓鱼邮件通常是通用的，但是网络钓鱼攻击会利用有关受害者的个人信息，这些信息可以通过他们的社交媒体资料或通过Google搜索找到。因此，当定制的消息到达受害者时，该人更可能做出响应。换句话说，他们肯定会接受诱饵。

据福布斯报道，企业界91％的目标安全漏洞通常都是从鱼叉式网络钓鱼电子邮件开始的。成功率很高，因为这些消息背后的罪犯非常了解用户的日常事务。例如，如果员工通常使用PDF或Word文档，并且他们必须检查报告和帐户，则他们更有可能使用类似于他们惯常例程的电子邮件内容。

更重要的是，正规员工不是唯一针对这些骗局的人。有时即使是C级管理人员也会收到此类消息。由于目标人员的身份，网络安全专家将此类攻击称为“捕鲸电子邮件”。因此，我们可以看到为什么鱼叉式网络钓鱼被认为是2018年最重要的网络安全威胁之一。

我们还可以在2015年补充这一点; Ponemon Institute 发布了一份报告称，一次成功的鱼叉式网络钓鱼攻击的成本约为30万美元。对数十亿美元的公司来说，这似乎也许并不多见，但这并不意味着人们也应该忽视这种攻击。更不用说，网络钓鱼恰好回到了主要的网络骗局趋势之上。

如何避免鱼叉式网络钓鱼

这些骗局的威胁是真实存在的。考虑到联邦贸易委员会最近在他们的博客上分享了关于鱼叉式网络钓鱼的安全提示 ，即使你没有亲身感受，我们也可以看到问题是紧急的。根据攻击类型（无论是电子邮件还是电话），可能有多种方法可以保护自己. 我们将在下面介绍几种保护方法，但我们也想强调教育的重要性。如果您希望您的公司或公司受到此类诈骗的保护，您必须投资于员工的网络安全教育。没有反间谍软件程序或防火墙比受过良好教育的员工更有效率。

1.经常仔细检查

由于鱼叉式网络钓鱼涉及自定义攻击，因此检查另一端的人是否真的有权拥有该消息（或电话）中使用的个人信息是很重要的。换句话说，在与消息交互之前，请仔细检查消息是否合法。如果您发现电话或电子邮件要求您共享敏感的个人或公司信息，请不要回复。

2.保护您的隐私

鱼叉式网络钓鱼攻击是定制的，因为犯罪分子设法将他们在网络上发现的大量个人信息拼凑在一起。因此，用户必须小心在线分享他们的个人详细信息。避免在您的社交媒体帐户上过度共享。如果可能，请将您的帐户设为私有（锁定它们）。不要在网上分享大量与工作相关的信息也是一个好主意（最好是把这些推文留给自己，真的）。

3.不要通过电子邮件发送敏感信息

不应通过电话或电子邮件分享密码，ID，银行账户，登录信息，公司安全号码和其他信息。您可能知道它，因为它必须已包含在合同中的一个条款中。但是，万一你忘记了这一点，如果有人要求分享，请务必将这些信息保留给自己。事实上，您应该首先通知您的上级或任何其他负责人您已收到此类请求。

4.采用多重身份验证

对于企业而言， 多因素身份验证不仅仅涉及登录和密码。可以使用此安全层来确保访问敏感数据的任何人实际上都有权执行此操作。由于MFA至少使用两个身份验证元素，因此第三方更难以破坏公司安全性。鉴于员工可以随时回收密码，这种类型的身份验证尤为重要。不用说，重复使用相同的密码是一个严重的安全问题。

如果您发现每次创建新密码都具有挑战性，您可以使用密码生成器（如Cyclonis Password Manager提供的密码生成器 ）来创建强密码，您甚至可以将它们存储在所述密码管理器中，因为它为您提供个人笔记功能。强密码和MFA肯定会让网络罪犯更难以获取您的数据。

5.网络安全作为目标

对于大多数高管来说，网络安全只是他们公司议程中的众多方面之一。但是，如果您的公司认真对待消防演习，您也应该认真对待网络安全。它不仅仅是针对鱼叉式网络钓鱼攻击。拥有实际的网络安全手册或在公司内部实施网络安全政策绝对可以降低网络攻击的可能性。

最重要的是，教育是关键. 可能需要一段时间，直到用户意识到看似无处不在的紧急消息背后的潜在威胁。我们很可能无法100％消灭网络钓鱼攻击，但至少我们都可以努力尽可能地降低感染率。