最近一些犯罪分子冒充出差或休假的首席执行官,发出精心措辞的可信的邮件来欺骗公司,这些做法表明诈骗(即所谓“钓鱼”)邮件已变得更为复杂。
总部位于英国的网络安全公司SecureData Europe首席执行官艾蒂安•格雷夫(Etienne Greeff)表示,CEO诈骗邮件(被称为“鲸钓”(Whale phishing))在2015年成为了一个问题。最初它们并不复杂,但随着时间推移,它们的技术含量大大提高。美国联邦调查局(FBI)报告称,去年1月至8月,这类诈骗邮件在全球造成的损失增加了270%,受害者超过1.2万。平均损失在12万美元左右,而一些公司的损失竟然高达9,000万美元。
网络安全公司卡巴斯基实验室(Kaspersky Lab)的高级安全研究员戴维•埃姆(David Emm)表示:“首席执行官发来邮件说需要你马上回应的事情,肯定会被人视为优先事项。”
我们在网上分享的信息很多,这有利于网络犯罪分子做手脚。不仅员工邮件地址可以在网上找到,他们的行踪以及商业计划也可以从博客、新闻报道以及社交媒体上获得。这有利于诈骗分子编造可信的邮件背景,以便假冒公司高管,要求将大笔资金汇给他们。以下是避免上当的一些建议
• 确保你安装了邮件过滤软件
德勤加拿大(Deloitte Canada)的安全情报咨询顾问迈克•赫拉克斯(Mike Hracs)表示,一套过滤收到的邮件、并自动屏蔽明显的欺诈和钓鱼邮件的系统是不可或缺的。“现在有两种不同的过滤系统:内置系统和基于云的系统。基于云的邮件过滤系统最容易实施,而且非常有效。”
过滤软件将阻止很多初级的钓鱼邮件,一些基于云的系统甚至可以追踪邮件、并改写其中的有害链接。这可以防止员工不小心下载让犯罪分子进入公司系统的恶意软件。
• 落实更完善的内部流程
卡巴斯基的埃姆表示:“在很多公司,合法实践和钓鱼诈骗者的所作所为之间没有明显分别。公司会使用高管发送的带有附件的电邮,让员工去点击。如果我们期望人们以这种方式对真实的邮件做出反馈,那么当他们以这种方式回应冒名邮件时,我们有什么理由感到意外?”
软件供应商Logicnow的安全主管伊恩•特朗普(Ian Trump)表示,如果高管们经常讨论他们的未来计划,诈骗邮件就不太可能得逞。他还指出有必要建立更完善的内部制度。规定汇至海外的款项必须由多人签名,会让诈骗者较难成功。
• 加强防范意识
德勤的赫拉克斯表示:“你需要开发一些演示,展现钓鱼邮件的基本结构,以及如何识别它们。”
员工的知识储备越多,他们就越有思想准备。但这类攻击日新月异的特点意味着,培训一次是不够的。公司的IT团队应定期开展内部防网络钓鱼活动,真正帮助提高意识。他们应该对员工进行培训,这样如果邮件中的一些内容看上去不同寻常,他们应该问这类行为是否与这名高管平时的行为相符,同时保持警惕,不去点击任何可疑链接。
• 检查邮件标头
尽管乍看之下这封邮件好像来自你的首席执行官,但邮件的源信息会显示出更多细节,可能会让你看出它是诈骗邮件。员工应查看可疑邮件的标头,邮件标头通常包含姓名以及发件人使用的电子邮件网络域名。
查看邮件标头对于多数电邮服务是一个简单的操作,IT团队可向员工提供有关要留意何种线索的指引。例如,在谷歌(Google)邮件中,点击邮件右上角的下拉箭头,然后选择“显示原始邮件”(show original)。
最后,如果还有疑问的话,打电话给首席执行官,问一问他或她是否需要资金。如果你让公司避免了一笔损失,他们不会介意你这么做。(转载自FT中文网)