欧洲刑警组织(Europol)在《IOCTA 2021》报告中再次确认:钓鱼攻击仍然是网络攻击的核心组成部分。无论是针对中高层管理者的精准式“CEO 诈骗”,还是面向全体员工的大规模钓鱼活动,其迷惑性和成功率都在持续提升。
随着社交网络和企业公开资料的高度透明化,攻击者在编写邮件内容时可以做到越来越“私人化”。因此,企业定期开展内部钓鱼邮件测试以提升员工的安全意识,已经成为必要措施。
本文将围绕以下主题展开:
- 企业钓鱼演练的意义;
- CEO 欺诈的特点;
- 如何制定企业级钓鱼演练的组织流程;
- 合规性、隐私与员工保护;
- 如何设定有效的评估指标。
一、钓鱼攻击为何如此高效?
钓鱼攻击被归类在 MITRE ATT&CK 中的 T1566(Phishing) 技术,包括:
- 附件式钓鱼(T1566.001)
- 链接式钓鱼(T1566.002)
- 替代服务钓鱼(T1566.003)
这些攻击通常不依赖高深技术,而是利用人性弱点,如信任、紧迫感、恐惧或好奇心。
更糟糕的是,如今的攻击者通常具备:
- 完整的目标企业结构信息;
- 社交网络收集到的员工个人资料;
- 通过泄露数据掌握的真实邮箱格式及过往信息。
因此,企业不仅需要依赖安全工具,更需要通过演练提升员工的警觉能力。
二、CEO 诈骗:最具破坏力的社交工程攻击
所谓 CEO fraud(CEO 欺诈),是攻击者伪装成公司高管,以紧急业务需求为由,诱导员工:
- 转账;
- 修改收款账户;
- 提供敏感信息(如工资单、合同、客户数据)。 </
最低0.47元/天 解锁文章
扫一扫
2446
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
