前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >明星被“钓鱼”损失数百万,个人和企业如何有效防范|上云那些事

明星被“钓鱼”损失数百万,个人和企业如何有效防范|上云那些事

原创
作者头像
腾讯安全
发布2022-04-15 17:00:22
5250
发布2022-04-15 17:00:22
举报
文章被收录于专栏:腾讯安全

要用什么高精尖技术,才能从周董手上骗走数百万?

令人意外的是,其实一封邮件就够了。

根据有关数据显示,超过一半企业被网络攻击的手段,往往只是一封平平无奇的钓鱼邮件!

近日,周董在社交媒体发帖称,自己的无聊猿NFT(数字虚拟资产)被钓鱼网站偷了!数字虚拟资产背后是区块链技术,为何号称安全性极高的区块链也难逃钓鱼邮件的攻击?

对于这个外界关心的问题,腾讯安全专家王余在接受南方+记者采访时就揭露了背后的秘密。

“钓鱼邮件是网络社会工程学攻击,也就是我们常说的社工攻击的一种常见表现形式。”

据王余介绍,一般攻击者会发送一封伪造的邮件,这种邮件会设定一个目的,例如修改密码、领取福利、查看薪资等特定应用场景。如果是精心构造的钓鱼邮件,还会诱导你去访问一个外观极其相似的网站或者应用程序,当用户点击钓鱼链接,黑客就能利用恶意程序,来获取用户敏感个人信息,包括账号、密码、口令、甚至用户的登录状态,有的时候还能完全控制用户的电脑。

“就像周董数字藏品被钓鱼事件,其实就是钓鱼者通过钓鱼邮件,来诱导周董访问仿冒的第三方交易平台,从而获取了周董的授权与交易凭证。”

王余透露,如今的钓鱼邮件种类多样,让人防不胜防:“有伪造成人力资源(HR)发给应聘者,或者伪造成服务投诉文件发给客服,附件带有可执行的恶意程序或直接指向含有恶意程序的网站。也有伪造成平台管理员给用户发邮件说要升级系统功能加强安全性,要求登录进行相关操作并诱导到一个外观极其相似的伪造网站。针对市场人员、采购人员、合规人员,一般会发送业务强相关的邮件,比如寻求合作、投标文件、举报等相关的伪造内容。腾讯安全团队也经常参加一些国家组织的网络安全攻防演练,事实证明,最容易和直接攻破的手段,就是社工攻击。

在王余看来,要分辨钓鱼邮件或钓鱼网站需要有一定的技术知识,但是提升网络安全意识是最重要的防范手段。“在工作和生活中时刻保持一个合理的善意的怀疑,比如不打开陌生人发的邮件或者运行来历不明的程序,打开文件或程序前进行病毒查杀,涉及金钱交易或提供敏感信息账号口令密码,或者需要权限的时候,要进行二次确认。”

在网络安全业界看来,网络安全的本质是对抗,核心是人与人的对抗。而社会工程学攻击是一种绕过网络安全技术防护体系,直接利用人性的弱点进行突破的方法。对此,王余建议,企业可以从技术和员工安全意识两个层面来有效防范钓鱼攻击。“在技术上,可以部署零信任、全流量的态势感知、终端安全防护、安全威胁情报、安全邮件网关等相关的安全产品;在安全意识上,可进行安全意识的培训,按员工岗位分类制订可持续地培训计划。一旦发现钓鱼或可疑事件时,及时反馈给企业的IT或安全部门进行快速止损或实施补救措施。”

而对于个人网民,王余则建议要提升安全意识,特别在涉及到金钱交易或要求提供口令密码、验证码时。还要定期更改常用口令密码,启用双因子认证,注意个人信息的保护,谨慎对待“天上掉馅饼”的事情等。一旦发现或发生钓鱼事件,要主动举报并快速采取措施进行止损。

下次大家如果收到周董的邮件,真的要三思是否打开看了......

「上云那些事」

南方日报、南方+联合腾讯安全推出的栏目,计划通过对网络安全问题深入浅出的讲解,更好地让大众认识到网络安全的重要性,同时也找到适合自己的应对方案。

记者:叶丹

视频:付宗亮

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
相关产品与服务
区块链
云链聚未来,协同无边界。腾讯云区块链作为中国领先的区块链服务平台和技术提供商,致力于构建技术、数据、价值、产业互联互通的区块链基础设施,引领区块链底层技术及行业应用创新,助力传统产业转型升级,推动实体经济与数字经济深度融合。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档