你可能对网络钓鱼很熟悉，这是一种常见的社交工程诈骗形式，诈骗者试图通过电子邮件或其他数字手段获取其目标的信任。通过数字化伪装成一个可信的第三方，诈骗者试图从受害者身上提取个人信息，比如密码、银行账号和信用卡号码。网络钓鱼也是一种特别有效的将机器人程序或恶意软件植入企业网络的方法。

虽然你可能认为只有傻瓜才会落入钓鱼策略的陷阱，但不妨考虑一下：网络钓鱼攻击是 2017年最严重的恶意软件传输机制之一。每年，企业由于网络钓鱼攻击导致的损失高达5亿美元。

网络钓鱼如此成功的部分原因在于这些信息与上下文相关。例如，你可能在这个月收到了不少主题为“新年”的钓鱼邮件及向你承诺好得令人难以置信的“世纪交易”。借用逼真的事件和主题，网络钓鱼攻击常常可以隐藏形迹。与此同时,这种防范意识的缺乏是成问题的—往小了说，会对电子邮件个人用户产生不利影响。而当网络钓鱼在公司层面上取得成功时，这将是灾难性的。

鱼叉式网络钓鱼

网络钓鱼本身可能会造成相当大的损失，但同鱼叉式网络钓鱼比起来，就是小巫见大巫了。攻击者可能会发送数以百万计的通用网络钓鱼电子邮件,而鱼叉式网络钓鱼则是将特定的个人或公司作为专门攻击对象。通常，其攻击对象包括某个CEO、CFO，或某些有权限进入金融或极度敏感系统的人员。

一旦遭到鱼叉式网络钓鱼的攻击，后果是相当严重的，其会导致大量数据遭到破坏，受害者包括了美国塔吉特公司、索尼和美国民主党全国委员会。即使是Facebook 和谷歌也经历过未经证实的网络钓鱼事件。显然，这不是一个能快速消除的安全问题，因此，各个组织机构必须加以提防，制定出一套可以解决这一问题的行动计划。

认识到这一点，您可以采取哪些措施来防止用户成为钓鱼网站的受害者呢？

终端用户教育——首先，忘掉安全意识。在应对新型攻击性的网络钓鱼技术时，陈旧的意识范式是根本行不通的。当面对网络钓鱼时，您需要的是接受终端用户教育。这是一个解决该问题更有力和更正规的方法。对于坚定不移地针对贵组织的网络骗子，仅仅使用一张PPT 幻灯片是不足以抵御的。用户只有接受教育，才能真正深入地了解网络钓鱼的威胁。进而懂得如何避免陷入网络钓鱼的威胁。培训用户不要点击看似合法的链接，这些链接只是表面上像是已知零售商、银行和支付网站的链接网址。并且，教导用户要手动输入网站地址，或使用受到信任的书签。此外，还要向用户展示如何识别隐藏在欺骗性极强的网络钓鱼手段与恶意电子邮件身后的不可靠和危险的网站链接和域名。

针对首席X官的密集培训——复杂的社交工程、高效的数据侦察、软件攻击和有针对性的鱼叉式网络钓鱼攻击是攻击组织常用且行之有效的策略。虽然可以大范围地或通过在线培训的方式对终端用户进行培训，但每位首席X官（例如首席执行官、首席财政官等）或高级管理人员，以及任何有权限进入会计和财务系统的人员，都必须接受个性化、实用性的教育培训，从而学会如何识别和回避网络钓鱼攻击。因为这些人都是最复杂和欺骗性最强的鱼叉式网络钓鱼攻击的高发对象，因而这些人应接受相应的严格培训。

软件和硬件解决方案——诸如防病毒软件、防火墙（包括外围和个人防火墙）、电子邮件和垃圾邮件网关等解决方案旨在通过阻止可疑流量、文件甚至无文件威胁进入您的网络和端点来防止大多数攻击。虽然现在还没有任何已知科技可以对每一次攻击进行检测和预防，但正确的设置确实可以对阻止钓鱼者起到很大的帮助。

实行分层防御——在整个组织中放置多层安全控制，以确保任何单点故障都不会将网络暴露在大规模的攻击之下。先进科技比如远程浏览器隔离,甚至可以主动隐藏端点，防止潜在的浏览器威胁，从而防止钓鱼者和其他网络犯罪分子通过这种常见的威胁载体侵入网站内部。

在对用户（和您自己！）进行网络钓鱼威胁识别和避免的培训上是没有捷径可以走的。但是不要恐慌：虽然没有任何单一解决方案是完全万无一失的，但多种安全控制措施的组合以及全面的安全教育和意识,可以让您的组织在面对不断变化的攻击方法时保持安全。