网络钓鱼可谓无孔不入,企业和员工也必须时刻准备着“多管齐下”。最根本的方法是完全避免攻击的发生。尤其需要注意以下九点:
全面打补丁:最佳防御手段之一就是确保软件不易受到攻击。不幸的是,企业往往是在发现了漏洞之后才打去补丁,因而这是一个被动的过程。时间上的延迟会造成漏洞就容易被利用,且系统容易遭受攻击。对于家庭用户来说,自动升级或打补丁可能很容易做到,但对于公司来说,在部署补丁之前要先测试。但是,企业仍有大量的其它程序需要跟踪和维护。幸运的是,许多第三方的软件供应商也能够自动更新其产品。不过,企业环境中可能有大量的自由软件、免费软件和其它软件需要跟踪和维护。
教育员工谨慎地检查收到的邮件:许多钓鱼攻击看起来就像来自合法的公司,但是合法的公司不应当要求用户提供账户或财务信息。许多钓鱼消息可能会简单称呼用户“亲爱的客户”,或是用客户的邮件地址来称呼,并警告用户快速操作,以避免严重后果。
教育员工当心邮件附件:虽然用户需要谨慎地检查邮件,但仍有可能百密一疏。用户必须更谨慎地检查邮件附件。用户应问一下是否索取过这份材料,要问一下:银行会发送一份PDF格式的附件吗?软件的更新会放在附件中吗?
教育员工不要提供个人的财务和账户信息:许多钓鱼邮件提供了一个指向网站的链接,用户会被要求提供信息。用户应直接与相关机构联系,并进一步调查此邮件的真实性。前提条件是联系的方式是真实可信的,而不是邮件发送者提供的方式!
教育员工不要相信要求个人信息的电话:电话常被钓鱼者用于索取信息。企业应教育员工不能向来电话的任何人提供关于账户、口令、个人或财务细节的任何信息。因为任何合法的银行或企业都不要要求用户提供这类信息。
教育员工利用防御软件:许多反病毒软件也包含防护间谍软件和阻止已知恶意网站的特性。企业应教育用户利用这些特性,并保证其经常更新。
教育员工谨慎共享:要教育用户绝对不能通过电子邮件发送个人信息,或者在社交媒体上共享这类信息。笔者见到过很多人将个人证照的照片发送到社交网络上,这类信息很容易被人利用。
教育员工当心下载的东西:谁都喜欢免费的东西,而互联网就充满了各种免费软件、视频、音乐、图片等。企业要教育用户当心下载的产品及其来源。有时,即使最新的杀毒软件也不能保证万无一失。
教育员工认真检查网站地址:恶意网站看起来可能象是佥网站,但其名称(域名)往往误拼,或是使用一个不同的域名等。
对付钓鱼攻击
如果遭到了钓鱼攻击,会发生什么呢?虽然企业和用户针对钓鱼攻击采取了许多措施,但钓鱼手段不断推陈出新,员工仍有可能中招。企业及员工应如何应对?请看如下三招:
1.停止共享敏感信息。如果员工已经泄露了敏感的信息,应立即报告。企业要教育员工立即与经理、服务台工作人员,或与网络管理员、安全人员联系。后者要采取措施更改口令,或监视网络的异常活动。
2.请求银行等机构采取措施。如果员工共享了财务信息,或认为财务信息遭到了泄露,应立即与相关机构联系。请求其监视账户的异常活动和费用,甚至在必要时关闭账户。
3.保护口令。如果怀疑口令遭到了泄露,应立即更改。公司应教育员工不能在多个系统或账户上使用相同的口令。要尽最大努力确保所有的口令都完全不同。
