明星被“钓鱼”损失数百万，个人和企业如何有效防范｜上云那些事

要用什么高精尖技术，才能从周董手上骗走数百万？

令人意外的是，其实一封邮件就够了。

根据有关数据显示，超过一半企业被网络攻击的手段，往往只是一封平平无奇的钓鱼邮件！

图片

近日，周董在社交媒体发帖称，自己的无聊猿NFT（数字虚拟资产）被钓鱼网站偷了！数字虚拟资产背后是区块链技术，为何号称安全性极高的区块链也难逃钓鱼邮件的攻击？

对于这个外界关心的问题，腾讯安全专家王余在接受南方+记者采访时就揭露了背后的秘密。

图片

“钓鱼邮件是网络社会工程学攻击，也就是我们常说的社工攻击的一种常见表现形式。”

据王余介绍，一般攻击者会发送一封伪造的邮件，这种邮件会设定一个目的，例如修改密码、领取福利、查看薪资等特定应用场景。如果是精心构造的钓鱼邮件，还会诱导你去访问一个外观极其相似的网站或者应用程序，当用户点击钓鱼链接，黑客就能利用恶意程序，来获取用户敏感个人信息，包括账号、密码、口令、甚至用户的登录状态，有的时候还能完全控制用户的电脑。

“就像周董数字藏品被钓鱼事件，其实就是钓鱼者通过钓鱼邮件，来诱导周董访问仿冒的第三方交易平台，从而获取了周董的授权与交易凭证。”

王余透露，如今的钓鱼邮件种类多样，让人防不胜防:“有伪造成人力资源（HR）发给应聘者，或者伪造成服务投诉文件发给客服，附件带有可执行的恶意程序或直接指向含有恶意程序的网站。也有伪造成平台管理员给用户发邮件说要升级系统功能加强安全性，要求登录进行相关操作并诱导到一个外观极其相似的伪造网站。针对市场人员、采购人员、合规人员，一般会发送业务强相关的邮件，比如寻求合作、投标文件、举报等相关的伪造内容。腾讯安全团队也经常参加一些国家组织的网络安全攻防演练，事实证明，最容易和直接攻破的手段，就是社工攻击。”

在王余看来，要分辨钓鱼邮件或钓鱼网站需要有一定的技术知识，但是提升网络安全意识是最重要的防范手段。“在工作和生活中时刻保持一个合理的善意的怀疑，比如不打开陌生人发的邮件或者运行来历不明的程序，打开文件或程序前进行病毒查杀，涉及金钱交易或提供敏感信息账号口令密码，或者需要权限的时候，要进行二次确认。”

图片

在网络安全业界看来，网络安全的本质是对抗，核心是人与人的对抗。而社会工程学攻击是一种绕过网络安全技术防护体系，直接利用人性的弱点进行突破的方法。对此，王余建议，企业可以从技术和员工安全意识两个层面来有效防范钓鱼攻击。“在技术上，可以部署零信任、全流量的态势感知、终端安全防护、安全威胁情报、安全邮件网关等相关的安全产品；在安全意识上，可进行安全意识的培训，按员工岗位分类制订可持续地培训计划。一旦发现钓鱼或可疑事件时，及时反馈给企业的IT或安全部门进行快速止损或实施补救措施。”

图片

而对于个人网民，王余则建议要提升安全意识，特别在涉及到金钱交易或要求提供口令密码、验证码时。还要定期更改常用口令密码，启用双因子认证，注意个人信息的保护，谨慎对待“天上掉馅饼”的事情等。一旦发现或发生钓鱼事件，要主动举报并快速采取措施进行止损。

下次大家如果收到周董的邮件，真的要三思是否打开看了......

「上云那些事」

南方日报、南方+联合腾讯安全推出的栏目，计划通过对网络安全问题深入浅出的讲解，更好地让大众认识到网络安全的重要性，同时也找到适合自己的应对方案。

记者：叶丹

视频：付宗亮