不要破坏自己的安全性，培训用户

我想我第一次看到网络钓鱼电子邮件是在2000年，当时我正在与PCMag商业编辑的Oliver Rist一起进行测试项目。 一天早晨，我们俩都收到了主题为“我爱你”的电子邮件，该主题行也是电子邮件的正文，并且有附件。 我们俩都立即知道该电子邮件一定是虚假的，因为作为杂志编辑，我们知道没有人喜欢我们。 我们没有点击附件。 实际上，我们充当了人的防火墙。 我们看到了伪造的电子邮件，因此我们将其删除，而不是将其内容传播到我们的计算机和网络的其余部分。

甚至在那时，黑客组织就将这类攻击称为“社会工程学”。 如今，网络钓鱼电子邮件可能是这种攻击的最著名版本。 它们主要旨在获取安全凭证，但也能够传递其他种类的恶意软件，尤其是勒索软件。 但是，值得注意的是，除了网络钓鱼之外，还有其他类型的社会工程攻击，包括某些攻击是物理攻击而非严格数字攻击的攻击。

人类：仍然是主要的攻击媒介

网络钓鱼电子邮件之所以广为人知，是因为它们是如此普遍。 到目前为止，可以说任何拥有电子邮件帐户的人都会在某个时间收到网络钓鱼电子邮件。 该电子邮件经常假装来自您的银行，您的信用卡公司或您经常访问的其他业务。 但是，网络钓鱼邮件也可能对您的组织构成威胁，因为攻击者试图用您的员工来对付您。 这种攻击的另一个早期版本出现在传真的黄金时代，当时攻击者只是简单地传真一张从未提供给大公司的服务发票，以希望繁忙的高管只需将其提交即可付款。

网络钓鱼非常有效。 根据律师事务所BakerHostetler的一项研究，该研究去年检查了560次数据泄露，网络钓鱼是当今数据安全事件的主要原因。

不幸的是，技术还没有赶上网络钓鱼攻击。 尽管有许多旨在过滤掉恶意电子邮件的安全设备和软件包，但制造网络钓鱼电子邮件的恶意分子正在努力确保其攻击能够顺利通过。 赛伦（Cyren）的一项研究表明，电子邮件扫描在查找恶意电子邮件中的失败率为10.5％。 即使是中小型企业（SMB），也可能会增加大量电子邮件，任何包含社会工程学攻击的电子邮件都可能对您的组织构成威胁。 并不是像大多数恶意软件那样会通过您的端点保护措施偷偷地遇到一般威胁，而是专门针对您最有价值的数据和数字资源的更加险恶的威胁。

在与KnowBe4的创始人兼首席执行官Stu Sjouwerman进行交谈时，我收到了有关Cyren报告的警报，该公司可以帮助人力资源（HR）专业人员教授安全意识。 Sjouwerman提出了“人为防火墙”一词，并且还讨论了“人为黑客”。 他的建议是，组织可以通过进行一些持续的培训来预防或降低社会工程学攻击的有效性，这种培训还可以使您的员工参与解决问题。

当然，许多组织都有安全意识培训课程。 您可能参加过几次会议，其中老咖啡与陈旧的甜甜圈搭配使用，而HR雇用的承包商花了15分钟告诉您不要为网络钓鱼电子邮件而摔倒，而实际上并没有告诉您它们是什么或解释如何处理您以为找到了一个。 是的，那些会议。

Sjouwerman建议的更好的工作方式是创建一个交互式培训环境，您可以在其中访问实际的网络钓鱼电子邮件，并在其中进行检查。 可能需要大家共同努力，使每个人都试图查看指向网络钓鱼电子邮件的因素，例如拼写不正确，看起来几乎真实的地址，或者在检查时要求没有任何意义（例如要求立即转移公司资金给未知的收件人）。

捍卫社会工程学

但是Sjouwerman也指出，社会工程的类型不止一种。 他在KnowBe4网站上提供了一组免费工具，公司可以使用这些工具来帮助员工学习。 他还建议公司可以采取以下九个步骤来抵抗社会工程攻击。

• 通过培训您的员工识别社交工程攻击，从而创建人为防火墙。
• 进行频繁的模拟社会工程测试，以使您的员工保持警惕。
• 进行网络钓鱼安全性测试； Knowbe4有一个免费的。
• 留意首席执行官欺诈行为。 在这些攻击中，攻击者创建了一封仿冒来自于首席执行官或其他高级官员的欺骗电子邮件，紧急指示了诸如转移资金的行动。 您可以检查是否可以使用KnowBe4的免费工具对您的域进行欺骗。
• 向您的员工发送模拟网络钓鱼电子邮件，并包含一个链接，如果单击该链接，它将提醒您。 跟踪哪些员工适合该职位，并集中培训那些不止一次的员工。
• 为“垃圾邮件”做好准备，“垃圾邮件”是一种语音邮件社会工程，其中留下了一些消息，试图让您的员工采取行动。 这些似乎是来自执法部门，国税局（IRS）甚至是Microsoft技术支持的电话。 确保您的员工知道不回复这些电话。
• 提醒您的员工注意“文本网络钓鱼”或“ SMiShing（SMS网络钓鱼）”，这类似于电子邮件网络钓鱼，但带有文本消息。 在这种情况下，可以将链接设计为从其手机中获取敏感信息，例如联系人列表。 必须训练他们不要触摸短信中的链接，即使它们似乎来自朋友。
• 通用串行总线（USB）攻击出奇地有效，并且是穿透气隙网络的可靠方法。 它的工作方式是有人将USB记忆棒留在洗手间，停车场或员工经常光顾的其他地方。 棍子上可能有诱人的徽标或标签。 当员工找到并将它们插入到便携式计算机中时（如果没有其他方面的学习，他们就会这样做），那么他们上的恶意软件就会进入您的网络。 这就是Stuxnet恶意软件渗透到伊朗核计划的方式。 Knowbe4也有一个免费工具可以对此进行测试。
• 打包攻击也出奇地有效。 在这里有人举着一箱箱子（有时是披萨）出现，并要求让他们进来以便将其交付。 当您不在时，他们会将USB设备插入附近的计算机中。 您的员工需要进行模拟攻击培训。 您可以通过培训来鼓励他们，如果他们做对了，就分享披萨。

如您所见，社会工程学是一个真正的挑战，它可能比您想要的要有效得多。 对抗它的唯一方法是让员工积极参与发现并发动此类攻击。 做对了，您的员工实际上会喜欢这个过程，也许他们也会从中得到一些免费的披萨。