为什么写
去年初,武汉一家软件外包公司遭遇了一场精心策划的钓鱼邮件攻击。攻击者伪装成公司CEO的邮箱,向全公司近两百名员工发送了一封标题为"紧急:年度绩效考核通知及薪资调整方案"的邮件。邮件中要求员工点击链接查看自己的考核结果和调薪明细。由于邮件来自CEO邮箱、内容涉及切身利益、标题足够吸引人,有超过一百二十名员工点开了邮件中的链接,并在随后出现的仿冒登录页面上输入了公司邮箱的账号和密码。
攻击者利用这些窃取的账号密码,进一步渗透了公司的内部系统,包括项目管理平台、代码仓库、客户关系管理系统。短短一周之内,攻击者窃取了一百三十余个客户项目的全部源代码、测试文档和需求方案,以及超过两万条客户联系方式。这些数据随后被以三十万元的价格在暗网公开出售。
带来哪些隐患
钓鱼邮件攻击,作为一种成本极低但成功率惊人的攻击方式,正在成为企业数据安全面临的头号威胁。
从技术角度看,钓鱼邮件攻击的门槛已经低到了令人难以置信的程度。任何人都可以在网上买到现成的钓鱼工具包,或者使用AI工具生成高质量的钓鱼邮件文本。案例中这封邮件从格式、语气到签名都模仿得惟妙惟肖,连IT部门的专业人员都被骗过去了。AI时代的钓鱼邮件已经不再是过去那种错别字连篇、一眼就能识别的样子了。
社会工程学在钓鱼攻击中的应用越来越精深。攻击者会花时间研究目标企业的组织架构、人员关系、近期动态,然后设计出具有高度针对性的诱饵。比如在公司发布财报前后发送号称"内部财报"的钓鱼邮件,在年终考核期间发送"考核结果"邮件,在公司并购重组传闻期间发送"重组方案"邮件。这些邮件的主题与员工的切身利益密切相关,点击率自然会很高。
单一的一次点击就可能引发系统性风险。一个员工被骗走了登录凭证,攻击者就可以用这个凭证登录企业系统,然后再以该员工的身份向其他同事发送带有恶意附件的邮件。这种信任链的传播很难被技术手段阻断,因为登录来源IP是正常的、发送的邮件使用的是真实账号、联系的对象也是日常有工作往来的人。
安全意识培训的落地效果往往不理想。很多企业每年都组织网络安全培训,但培训的形式往往是员工对着PPT签字,培训效果大打折扣。当真正的钓鱼邮件出现时,大部分人还记得"不要点击可疑链接"这条原则,但当邮件看起来非常可信、内容与自己切身相关时,理性判断往往会被情感冲动所压倒。
给我们什么提醒
防范钓鱼邮件需要技术手段和人员意识的紧密结合。
多因素认证是最有效的防护手段。即便攻击者拿到了员工的邮箱密码,没有第二步的验证码也无法登录。这是当前性价比最高的安全增强措施,每一家企业都应该立即实施。哪怕只是针对核心系统和敏感数据的访问启用多因素认证,也能够挡住绝大部分的攻击。
模拟钓鱼演练应当成为企业的常规动作。安全培训不能只说不练,定期向员工发送模拟的钓鱼邮件,测试并提升员工的实际辨别能力。对于反复点击模拟钓鱼邮件的员工,可以进行针对性的补课培训。模拟演练的效果远远好于纸上谈兵。
邮件安全网关要持续升级。现代邮件安全工具不仅能够过滤已知的恶意链接和附件,还可以通过AI技术分析邮件的语言特征和行为模式,识别出前所未有的钓鱼攻击。企业应当选择具备AI分析能力的邮件安全方案,并且保持规则的持续更新。
汇报机制要畅通。当员工发现自己可能上当了,有一个便捷、没有惩罚的汇报渠道非常重要。如果员工害怕被责备而不报告,攻击者就会有更多的时间在企业内部横向移动。企业应当建立零责备的钓鱼报告文化,及时报告就是立功而非受罚。
企业启示
人是信息安全链条上最薄弱但也是最重要的一环。北京企密安信息安全技术有限公司相信,任何技术手段都无法百分之百阻挡所有的钓鱼攻击,但通过持续的安全意识培养和科学的安全管理制度,企业可以大幅降低攻击的成功率。技术保护是基础,但人保护是最后也是最重要的一道防线。
