如何策划企业钓鱼邮件演练
发布时间:2022-07-27 11:35:59 所属栏目:安全 来源:互联网
导读:为什么要开展网络钓鱼演练 相信在甲方工作的信息安全工程师都知道,定期对公司员工进行安全意识培训是我们的工作内容之一,目的也很明确,通过安全意识培训来改变员工的不安全行为,降低人的风险。根据网络安全问题起源数据分析,75%的安全事件是由人引起的
|
为什么要开展网络钓鱼演练 相信在甲方工作的信息安全工程师都知道,定期对公司员工进行安全意识培训是我们的工作内容之一,目的也很明确,通过安全意识培训来改变员工的不安全行为,降低人的风险。根据网络安全问题起源数据分析,75%的安全事件是由人引起的,很大一部分原因是意识薄弱,弱口令、钓鱼中招等;只有25%是跟技术相关,其中包括系统漏洞、配置缺陷以及业务逻辑缺陷等。 1. 网络钓鱼现状 在如今的互联网环境中,网络钓鱼是个人、组织所面临较大的安全威胁,员工被“钓鱼”是不同规模组织的一大风险,因为对手会用恶意邮件和网站对用户实施攻击。 根据纵横随心邮与360行业安全研究中心的联合监测评估,2019年全国企业邮箱用户共收到各类钓鱼邮件约344.3亿封。全球每天大约有3000亿封电子邮件被发送,其中90%是垃圾邮件和病毒邮件 超过90%的黑客攻击和数据泄露源于网络钓鱼诈骗,已报告商业电子邮件欺诈(BEC)损失了超过125亿美元,但已报告的网络 犯罪数量仅占实际犯罪总数的10%至12%。 2. 常见网络钓鱼攻击类型 CEO欺诈或商务邮件欺诈(BEC)——假装公司的CEO或其他高管,向级别较低的员工(通常是会计或财务部门的员工)发送电子邮件,这些电子邮件的目的是获取商业机密信息或让受害者将资金转移到一个虚假账户。 克隆网络钓鱼——利用受害者已经收到的合法信息,仿真创建一个恶意脚本,再以上一封电子邮件的链接有问题为由,要重新发送原始邮件,来诱导用户点击克隆的钓鱼邮件。 域欺骗(Pharming)——伪造一个新的电子邮件头,使它看起来像是来自一家合法公司的电子邮件地址。或者创建一个欺诈网站,让它的域名看上去是合法的或与合法公司的域名相似。 鱼叉式网络钓鱼(Spear phishing )——使用社交工程策略定制个性化电子邮件,发送给组织内的特定个人。攻击者会使用电子邮件主题作为受害者感兴趣的主题,以欺骗他们打开邮件并点击链接或附件。 水坑攻击(Watering Hole)——攻击公司杨红经常访问的网站,感染其中一个网站并植入恶意软件。当你或你的员工访问该网站时,电脑会自动装载恶意软件,这样攻击者就能访问你的网络、服务器和敏感信息。 鲸钓攻击(Whaling Attack)——是鱼叉式钓鱼的一种,与CEO欺诈相反。攻击者的目的是高层管理人员,如CEO、CFO等,其目的是诱导高管输入敏感信息和公司数据。 (编辑:应用网_丽江站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330468号