是的,您可以通过各种方式在 Cash App 上被骗
更新于 2023 年 4 月 11 日。
网络钓鱼是各种形式和规模的企业都需要认真对待的问题。 保护您的公司免受常见网络钓鱼攻击的最佳方法是提前做好准备。 对员工进行培训并进行网络钓鱼测试,可确保员工能够识别网络钓鱼企图。
要成功进行网络钓鱼活动测试,您首先需要找到一个网络钓鱼工具,帮助您设计并执行测试,然后对结果进行分析。 在本指南中,我们将介绍如何在工作环境中进行网络钓鱼测试,以便您的员工在遇到真正的网络钓鱼诈骗之前做好准备,及时发现这些攻击。
什么是网络钓鱼?
网络钓鱼是一种网络攻击,攻击者企图通过伪装成受害者认识的受信任方来获取敏感信息。 最常见的网络钓鱼攻击是通过电子邮件或短信进行的,其措辞通常非常紧迫,让目标受害者快速采取行动。
例如,假设您打开收件箱,发现一封来自大通银行的电子邮件,与您的银行账户升级有关。 这封电子邮件似乎很重要,模板和您平时收到的大通银行电子邮件非常相似,因此您点击了链接。 但是,该链接是恶意链接,将您转到了一个欺骗性网站。 欺骗性网站是指表面看似合法但实际上并不合法的网站。 一旦您在该网站上输入登录信息,您就相当于在不知情的情况下将您的凭证提供给了攻击者。 现在,攻击者拥有登录您的大通银行合法账户所需的所有信息。
在工作场所,网络钓鱼电子邮件可能伪装成来自老板的电子邮件,但稍微存在拼写错误,或者伪装成来自同事的电子邮件,但域名与平时稍有不同。 一般来说,这种电子邮件会要求您提供敏感信息,攻击者会使用这些信息以某种方式窃取您公司的信息或损害您的公司。
什么是网络钓鱼测试?
网络钓鱼测试是一个程序,公司可以向员工发送逼真、模拟的网络钓鱼电子邮件,看员工如何回应。 这些网络钓鱼测试能让公司了解员工在发现网络钓鱼攻击方面是否接受了充分培训,并在员工与这些攻击交互时为他们提供网络钓鱼培训。 通过向员工发送模拟网络钓鱼攻击,他们将了解如何在收到真实网络钓鱼攻击时快速识别,从而为您的公司提供长效保护。
如何让员工为网络钓鱼测试做好准备
在开始执行网络钓鱼测试之前,您需要找到可用于运行测试的网络钓鱼工具。 市场上有各种各样的网络钓鱼工具,包括 Gophish 等免费开源工具。 您也可以考虑 KnowBe4 和 Infosec IQ 等商用产品。
选定工具之后,您就可以通知并培训员工,因为您的目标是让他们了解网络钓鱼的危害并测试他们的表现。
如果在未提前提醒员工的情况下运行测试,可能会失去他们的信任,他们会认为自己被 IT 部门轻视。 但是,如果您提前提醒并培训员工,他们更有可能将其视为宝贵的学习体验,而不是以令人尴尬和惊讶的失败而告终。
您还需要召集各个经理和部门负责人为测试设置参数。 许多网络钓鱼者使用社会工程策略,例如伪装成同事或经理,以提高成功欺骗目标的概率。 因此,通常好的做法是与部门负责人共同确定如何像真正的攻击者一样攻击特定员工。
重要的是明确告知员工如何报告网络钓鱼企图。 例如,他们是否应该将电子邮件转发给 IT 部门? 是否应该向经理报告? 在不影响工作流程的情况下,员工报告电子邮件的可能性更高,因此报告流程应该尽可能简单。 报告流程因工具而异。因此,在为公司选择网络钓鱼工具之前,请务必牢记这一点。
如何设计网络钓鱼测试
做完所有基础工作后,就可以开始确定测试的细节,例如测试将持续多长时间,将测试哪种网络钓鱼方案,将监控哪些指标以及将测试哪些人员。
要获得最深刻的洞察,就要持续运行网络钓鱼测试,因为公司有新员工不断加入,而他们需要接受培训和测试。 首先,每月应给加入公司的每位新员工发送一封模拟网络钓鱼电子邮件,采用清晰的网络钓鱼模板,此后升级为冒充同事发送的社交工程电子邮件。 缓慢增加难度有助于员工逐渐获得信心,而不是在过早失败后失去信心。
在开始测试之前,重要的是与团队共同确定使用哪种网络钓鱼攻击。 例如,您是否会对特定员工使用鱼叉式网络钓鱼攻击? 是否会对 CEO 和其他高管使用鲸鱼网络钓鱼? 是否还会使用克隆网络钓鱼? 一般来说,您需要使用几种不同的网络钓鱼攻击来测试团队成员对每种攻击的识别能力。
为了准确衡量并解释测试期间发生的情况,您还需要选择要监控的指标。 一般来说,您需要跟踪以下三个指标:
- 成为网络钓鱼企图受害者并泄露数据的员工数量
- 成功识别并报告网络钓鱼企图的员工数量
- 链接点击率
运行测试时,不要忘记将高级经理、高管甚至董事会成员包括在内。 这些高级团队成员通常是最大的网络钓鱼目标,因此他们也需要做好准备。
确定测试设计的所有细节后,就可以开始测试了。 这里需要记住的最重要的一点是,应将具体部署时间表保密。 如果员工知道过多时间表细节,网络钓鱼电子邮件会在他们的意料之中,这会影响测试结果。
收到网络钓鱼测试结果后应该做什么
即使测试可能已经结束,但是您的工作仍在持续。 运行测试后,就应该分析数据,了解公司的表现如何。
首先,您需要分析是否实现了期望的目标:随着时间的推移,遭到网络钓鱼电子邮件诈骗的员工数量是否减少? 链接点击率是否下降? 报告可疑电子邮件的员工数量是否增加?
在分析所有数据之后,您应决定如何采取后续措施。 通常好的做法是向公司展示结果,让每个人都能了解需要改进的地方。 但是,请不要公开指责具体部门或员工,这一点非常重要。
一些员工的表现不佳,这是不可避免的,因此,用得体和谅解的态度对待他们非常重要。 该测试本质上是一种学习体验,因此没有任何理由以粗鲁无礼、居高临下的态度对待表现不佳的员工。 尽管如此,您仍需要为他们提供额外培训,以便他们作出改进。 大多数网络钓鱼工具都可以为有需要的个人提供进一步的网络钓鱼培训。
网络安全提升从员工开始
运行网络钓鱼测试只是更大的网络安全难题的一部分。 为了为公司提供长期安全保护,必须通过定期培训和持续测试举措,将网络安全根植于每个人的心中。
此外,通过实施权限访问管理并要求员工使用密码管理器,可提高您的公司其他方面的安全性,这也非常有用。 密码管理器能够帮助员工轻松、安全、可靠地维护密码,保护您的公司免受常见发密码攻击。 此外,密码管理器可以直接防范网络钓鱼企图,因为它们只会在直接匹配的 URL 上自动填充密码,而不是网络钓鱼网站的虚假 URL。