网络安全最佳做法：如何避免网络钓鱼诈骗

社会工程计划的复杂性不断增长，尤其是网络钓鱼活动在进入员工收件箱时引起了人们的关注。这些欺诈性电子邮件活动看起来是合法的，并利用了经常太忙或根本不准备识别欺诈的员工（免责声明：网络钓鱼并非特定于电子邮件；欺诈也通过电话和其他通信方式发生）。

在这两种情况下，如果员工单击链接，下载附件或向幕后的黑客提供凭据或财务信息，它都会为潜在的威胁和非常严重的情况提供一个网关。

这些骗局正在起作用。Verizon在2016年的一项研究发现，网络钓鱼邮件中有30％是由收件人打开的； 2016年，网络钓鱼攻击报告给反网络钓鱼工作组（AWPG）超过120万，比2015年增长了65％。

此外，根据FBI的调查，2013年至2015年之间的鱼叉式钓鱼活动使公司损失了超过20亿美元。

尽管公司可以采用多种技术和安全功能来充当针对性攻击电子邮件的安全屏障，包括下一代防火墙保护和增强的电子邮件安全功能，但不幸的是，其中一些电子邮件会通过并对其构成威胁您公司的安全状况。

员工的意识，教育和培训将成为您的公司针对这些类型的网络安全骗局的最佳防线。通常，网络钓鱼电子邮件具有员工应注意的一组共同特征：

•紧迫感！当心任何电子邮件，说现在必须做“否则”，特别是在要求提供个人信息的情况下

•语法不正确或拼写错误的单词或错别字

•常规发件人信息，例如来自“付款处理者”的信息

•域不合法；例如，可能使用了子域或拼写不正确（包含一个多余的字母，可能被忽略）

•意外或不必要的链接或附件

•“收件人”或“抄送”字段中包含多个收件人

有多种方法可以对您的公司员工进行教育和培训，使其了解网络钓鱼诈骗的危险以及如何最好地嗅出欺诈性电子邮件。年度信息安全意识培训通常涵盖网络钓鱼诈骗，并且可以为用户提供高级信息和提示，以供您记住。许多公司还雇用网络安全顾问或专家来提供现场培训，以帮助使这些问题的严重性合法化。

但是，对员工进行网络钓鱼危险培训的最有效方法是通过实际对他们进行网络钓鱼的行为。托管的网络钓鱼服务正变得越来越流行，因为它们有效地使用网络钓鱼电子邮件模拟来测试现有知识，并且还提供即时教育以确保用户最有能力抵御网络攻击。

这是一个托管网络钓鱼活动如何工作的示例。托管服务提供商会定期（通常每季度一次）针对公司员工进行受控的模拟网络钓鱼活动。当用户单击活动中的虚假电子邮件时，他或她将接受即时培训，以强化关键概念并提供避免实际网络钓鱼威胁的提示。不管提供的网络钓鱼模拟的类型如何（还使用附件下载和登录凭据技术），所有结果都会被捕获并以完整报告的形式提供给公司。点击率，位置和端点分析是所提供的一些摘要级别的指标。还报告了员工培训的完成情况，以确保员工负责。

使用网络钓鱼模拟练习既是一种有效的方法，也是一种具有成本效益的方法，可以对用户进行社会工程计划的危害方面的培训，并证明安全的网络和电子邮件做法的重要性。随着网络钓鱼和鱼叉式网络钓鱼诈骗比以往任何时候都更加普遍，对于对冲基金和私募股权公司实施先进的工具来防范日益加剧的网络威胁至关重要。