博客与新闻

亚信互联 认为创建成功的安全网络形象应该容易且负担得起。在这里,您将找到我们的最新 SSL 新闻,行业文章和新闻稿。

Phish-mas 的 12 天:网络钓鱼示例的节日观察


Phish-mas 的 12 天:网络钓鱼示例的节日观察

假期是寒冷天气、美食和与家人共度时光的代名词。但对于网络犯罪分子来说,这是一年中网络钓鱼攻击获利丰厚的时期。我们将探索十多个网络钓鱼示例,您可以从中学习,以免在 2021 年假期(以及未来 2022 年)陷入网络诈骗!

这是一年中的那个时候:现在几乎可以在任何地方找到圣诞装饰品,网上假日销售比比皆是。但每年的这个时候也有一个阴暗面——它代表了网络犯罪分子对毫无戒心的假日购物者进行网络钓鱼诈骗的绝佳机会。

根据梭子鱼的说法,假期是与网络钓鱼相关的网络犯罪激增的时期。他们的数据显示,在 2020 年,鱼叉式网络钓鱼攻击在圣诞节前几天比平均水平增加了 150% 以上,然后在假期后这些比率显着下降。

但现实情况是,网络钓鱼诈骗不限于只是节日,而他们不仅限于针对购物者。毫不奇怪,网络犯罪分子喜欢使用网络钓鱼诈骗作为利用毫无戒心或网络无知的用户的一种方式。正如我最近在 PrivateInternetAccess.com 的一次采访中所讨论的那样,网络犯罪分子喜欢关注您企业中的“软”目标——他们可以欺骗、胁迫或操纵使他们犯下大错的人(例如向他们提供您的登录信息或向他们进行欺诈性付款)。

但是网络钓鱼的一些常见迹象是什么?我们将探讨网络钓鱼电子邮件示例和您可能在假期过后很长时间通过电话 ( vishing ) 和短信 ( smishing ) 收到的其他常见骗局。我们只会为每个主题分享 1-2 个示例,否则本文将很快失控。考虑到所有这些……

让我们把它算出来。

在 Phish-mas 的第一天,一个黑客给我发来了……一篇写得不好的通信

外面的天气很糟糕——许多网络钓鱼邮件中的语法、拼写和标点符号也很糟糕。写得不好是网络钓鱼电子邮件或文本最明显的指标之一;这些骗子通常不会将英语作为主要语言。即使他们的母语是英语,他们也往往不会花太多精力来创建这些信息。在许多情况下,他们甚至懒得创建具有一致设计或颜色的内容。

发送一般的网络钓鱼邮件在很大程度上是一种数字游戏——它是在花费最少的精力的同时尽可能多地击中目标。如果攻击者向 10,000 名用户发送一般网络钓鱼消息,少数人可能会中招,而这个数字可能足以让他们的最小努力变得值得。

下面是我最近收到的一封写得很糟糕的电子邮件网络钓鱼邮件的示例:

The SSL Store 收到的一封写得不好的网络钓鱼电子邮件的屏幕截图

首先,您可能会注意到消息中缺少 Rackspace 品牌。接下来,您可能会注意到他们在将颜色和字体混合到消息中时明显的脑动脉瘤。是的,这是非常时髦的,绝对是非品牌的。但如果所有这些还不够,那么您可能会注意到拼写错误和非 ASCII 字符的使用。(说到,看看那封电子邮件主题行:电子邮件智商升级……是的,也让我大吃一惊!)

所有这些东西结合起来肯定会尖叫“网络钓鱼诈骗电子邮件!” 但是,当然,当您更仔细地查看消息时,这里还有一些其他明显的问题:

一封写得不好的网络钓鱼电子邮件的屏幕截图,其中突出显示了发件人的 “发件人” 字段信息和嵌入的网络钓鱼链接(由 SSL 商店接收)

一个明显的赠品是他们嵌入了一个指向公然虚假网络钓鱼网站的链接。这清楚地表明该消息并非来自 Rackspace,因为如果是这样,它将包含一个指向 Rackspace 官方网站的链接。

对我来说最重要的是他们做出了一个有趣的选择,即假装是我向我发送电子邮件。但是,他们使用了一个显然不属于我或 The SSL Store 的电子邮件地址嗯……是的。他们认为我不会意识到我不会向任何人发送这样的电子邮件,更不用说我自己了?是的……SMH。

但这已经足够了——让我们快速看一下写得不好的网络钓鱼电子邮件的另一个例子:

The SSL Store 收到的一封写得不好的网络钓鱼电子邮件的屏幕截图
天哪——我从哪里开始?“何塞”在这里似乎很困惑……嗯,几乎所有的事情。
  1. 未经请求的电子邮件来自一个完全不相关的电子邮件帐户。(发件人的显示名称是 Jose,但电子邮件来自“simon”电子邮件地址。)
  2. 该消息试图通过承诺提供数百万美元来诱使和胁迫我做出回应
  3. 在此网络钓鱼示例电子邮件中,错别字、标点问题和糟糕的语法比比皆是。
  4. 何塞将自己描述为“不嫉妒的女人”和三个孩子的单身父亲......在同一句话中

忘记河马吧——这个骗子应该希望在圣诞节收到 Grammarly 订阅!

在 Phish-mas 的第二天,一名黑客向我发送了...... 2 封虚假的版权电子邮件

骗子喜欢寻找新的方式来骗人,他们的活动不仅限于假期。在许多情况下,他们满足于简单地在同一头猪身上涂上新的口红。他们不会通过提出全新的骗局来重新发明轮子,而是会改变旧的故事情节或策略。一个这样的例子是正在进行的版权侵权骗局。

这种类型的网络钓鱼诈骗涉及攻击者向您发送一封电子邮件,错误地声称您在未经他们许可的情况下使用他们的其中一张图片侵犯了某种类型的版权。这里的目标通常是两件事之一:

  1. 诱骗您点击网络钓鱼或恶意链接,或
  2. 让您链接到他们的虚假网站,这有助于他们的诈骗网站获得更高的域权限(即在 Google 和其他搜索引擎上获得更好的排名)。

让我们快速浏览一下我最近收到的一个这样的例子:

The SSL Store 收到的侵犯版权通知网络钓鱼电子邮件的屏幕截图

在此网络钓鱼示例中,威胁行为者伪装成版权通知组织,并声称我们在未经其客户批准的情况下使用了图像。但这有两个关键问题:

  1. 他们模糊的电子邮件没有具体说明我们据称使用了哪张图片——他们明显的补救措施是让我们添加一个指向他们网站主页的链接,作为对未指定图片的归属。
  2. 让我们考虑一下链接。它们包含的第一个链接指向所描述网站的主页,但第二个链接是明显的网络钓鱼链接。如果我点击它,我的设备可能会感染恶意软件。

不用了,谢谢。我很确定我们的 IT 管理员不想在假期里清除恶意软件并修复由我或任何其他陷入此类骗局的员工引起的其他问题……  

在网络钓鱼的第三天,黑客向我发送了...... 3 条紧急消息

紧急消息和网络钓鱼诈骗就像煤炭和圣诞老人的顽皮清单一样。营造紧迫感、恐惧感、恐慌感、兴奋感或引发其他情绪反应是社交工程诈骗中常用的一种策略。这里的想法是,如果攻击者可以做一些事情来欺骗、挑衅或胁迫您点击网络钓鱼链接、向他们发送敏感信息或通过电话呼叫他们。

让我们快速浏览一下我的一位同事收到的 Microsoft 订阅网络钓鱼电子邮件:

The SSL Store 收到的伪造紧急电子邮件发票的屏幕截图

上面的示例是一个发票网络钓鱼邮件,其设计看起来像 Microsoft 官方邮件。但是,与我们在本文中分享的大多数网络钓鱼示例不同,这个示例有点不同,因为这些电子邮件诈骗通常也会变成钓鱼诈骗。

在这里,攻击者使用紧急语言提示您立即致电他们,并说明您只有 72 小时的时间要求退款。

网络钓鱼示例:The SSL Store 收到的伪造紧急电子邮件发票的特写截图

为什么要打扰电话号码?这是因为他们想让您上线,以便他们可以尝试让您执行以下操作之一:

  • 通过电话付款,
  • 通过电话分享信用卡、银行账户或个人信息,或
  • 指导您下载远程桌面软件,让他们可以访问您的设备(以及与其连接的任何网络和其他设备)。

Phish-mas 的第四天,黑客向我发送了...... 4 个恶意附件

恶意的电子邮件附件似乎像冬天的雪花一样多。它们随处可见,当您去上班并发现新铲的车道被雪铲除时,它们就像雪一样令人讨厌。

但与制造令人沮丧的扫雪机不同,恶意电子邮件附件是危险的,对您的数据、设备、网络、客户和整个公司构成威胁。让我们考虑以下示例:

The SSL Store 收到的电子邮件中恶意附件的屏幕截图

在上面的网络钓鱼示例中,我收到了一个虚假的报价请求,其中包含潜在的恶意 Microsoft Office 文件附件。Office 文件(包括 Word 文档和 Excel 电子表格)通常用于通过电子邮件传播恶意软件和嵌入的网络钓鱼链接。事实上,SonicWall 的研究表明,2020 年武器化的 Microsoft Office 文件增加了 67%。

是什么让这些文件附件如此危险?这些附件可能会在您的设备上安装恶意软件,可以执行从窃取您的登录或烘焙帐户信息到加密您的数据和锁定您的设备的所有操作。此外,企业通常不会阻止这些文件,因为员工在日常工作中经常使用和共享这些文件。

因此,最好完全避免这些问题,不要使用可疑电子邮件中的任何附件,也不要打开来自未知个人的未经请求的电子邮件。

在 Phish-mas 的第五天,黑客发送给我...... 5 个钓鱼网站链接

网络钓鱼链接来了,恶意链接来了——我们每天都会收到它们!… 是的,我现在脑子里浮现出许多以网络安全为主题的圣诞颂歌和歌曲的模仿,甚至都不好笑。对不起。

正如您将在以下网络钓鱼示例的屏幕截图中看到的那样,电子邮件网络钓鱼示例在需要注意的某些属性方面通常有很多重叠。例如:

  • 网络钓鱼电子邮件的“发件人”字段中的信息经常不匹配或不正确。
  • 许多不同类型的网络钓鱼邮件都包含指向已被黑客入侵并由攻击者控制的虚假网站或合法网站的链接。

考虑到这一点,让我们探索我们的两个网络钓鱼电子邮件示例中的第一个,这些电子邮件试图引导我访问他们高度可疑的网站:

The SSL Store 收到的电子邮件中的网络钓鱼链接的屏幕截图

此处的目标是让我点击“下载附件”网络钓鱼链接,该链接设计为看起来像一个按钮。这样做会将我带到一个站点,在那里攻击者会试图强迫我登录,以便他们可以窃取我的凭据。

下一个示例(如下所示)大致相同。该电子邮件的设计看起来像 Microsoft Office 365,并以提供重要信息为幌子提供链接供您访问。但是,如果您查看该 URL,您会很快发现它实际上是多么不合法。我很确定 Office 365 不会使用网址中包含“XXX”的合法 URL…… 

网络钓鱼示例:The SSL Store 收到的电子邮件中的网络钓鱼链接的屏幕截图

在 Phish-mas 的第六天,黑客向我发送了 6 次数据请求

网络犯罪分子喜欢数据,并且会尽其所能来获取数据。我们可以向你保证——他们不是在寻找淘气和好人的名单来成为圣诞老人的小帮手。访问您最敏感的数据——登录凭证、员工记录、客户联系人列表、知识产权、个人身份信息等——给了他们许多庆祝的理由。

如果您在不知情的情况下将客户或员工的个人识别信息 (PII) 发送给网络犯罪分子,那么该错误的影响可能会在未来几年以以下形式出现:

  • 身份盗用问题,
  • 违规罚款和处罚,
  • 诉讼,以及
  • 名誉和品牌形象受损。   

让我们来看看我的一位同事收到的一封钓鱼邮件,要求提供她的个人敏感信息:

网络钓鱼示例:The SSL Store 收到的受益人电子邮件诈骗消息的屏幕截图

这是一封被列为来自联邦储备银行威斯康星分行的电子邮件,其中包含一条消息,称她一直试图与 Marina 取得联系,讨论据称她作为某人的受益人收到的一些钱。嗯,意外财富的承诺 - 绝对是一个很大的危险信号。

在下面的屏幕截图中,我们可以看到该消息是从一个明显不属于威斯康星联邦储备银行的电子邮件地址发送的。(这是一个名为 Serah 的人的 Gmail 地址。)这是第二个危险信号。

网络钓鱼示例图:The SSL Store 收到的受益人骗局中发件人电子邮件地址信息的特写

这条不请自来的消息的内容写得似乎很紧急,说自从一位不愿透露姓名的客户去世并将钱留给她后,她是数百万美元的受益人。那是红旗三号。

接下来,电子邮件指出,他们要求她分享高度个人化的信息——玛丽娜的姓名、年龄、联系信息,甚至是她的驾照副本——以便他们的机构处理资金。大红旗四号。  

网络钓鱼示例图:The SSL Store 收到的此特定受益人骗局中请求的数据类型的特写

最后,电子邮件指示 Marina 回复一个完全独立的电子邮件地址,而不是最初发送电子邮件的地址。该消息甚至试图营造一种虚假的安全氛围——它指出,如果她收到其他人关于此事的消息,则应“出于安全原因立即取消并避免这些消息”。红旗五号。

在 Phish-mas 的第七天,黑客向我发送了...... 7 次付款请求

每个人都喜欢在假期期间口袋里多放一点绿色,网络犯罪分子也不例外。他们想尽可能多地骗取人们和公司的钱,同时花费尽可能少的精力。在某些情况下,这涉及诱骗人们为欺诈交易进行电汇——在其他情况下,网络犯罪分子让用户购买并提供预付礼品卡的代码,或者让他们代表他们进行其他虚假购买。

一些付款请求以虚假发票和账户报表的形式出现。这是我在 2020 年收到的一个这样的例子:

网络钓鱼示例:The SSL Store 收到的网络钓鱼发票电子邮件的屏幕截图

……是的,考虑到我们销售数字证书,我很确定我们没有从与货运相关的公司为我们提供任何“物流”服务。而且,即使我们这样做了,我当然也不是负责支付上述发票的人!

毋庸置疑,还有其他一些明显的信息表明这是一封网络钓鱼电子邮件 - 一封未经请求的邮件,其中包含可疑附件、糟糕的语法和立即付款的要求。但至少在这封电子邮件中,他们一致将自己描述为这家特定的海运和空运公司。(他们甚至懒得从一个实际上有“会计”功能的电子邮件地址发送它!)

但是,我不会爱上这个明显的诡计,你也不应该。这就是发挥你的批判性思维技能的地方。

让我们来看看我的一位同事收到的另一封电子邮件——这封邮件属于我们之前提到的“虚假购买”类别:

网络钓鱼示例:The SSL Store 收到的虚假购买请求电子邮件的屏幕截图

你可能已经猜到了,这家伙绝对不是圣诞老人的小帮手。这封诈骗电子邮件只是我们不断增长的网络钓鱼示例列表中的另一条消息。

  • SSL Store 是一家小型企业——这里的每个人几乎都认识其他人。
  • 由于所有员工都接受了网络意识培训,他们知道有人试图冒充 CEO 或其他公司高管的网络钓鱼诈骗。(稍后会详细介绍。)
  • 我的同事 Jacqueline 能够快速查看这封电子邮件,并知道它不是由 Robert Walters 发送的。
  • 她也知道,担任该职位的人没有理由期望她代表公司进行采购。  

不错的尝试,装腔作势。但我们没有人上钩。

在 Phish-mas 的第八天,黑客给我发了 8 封来自你老板的电子邮件

我们网络钓鱼示例列表的下一个主题完全遵循最后一个主题。网络钓鱼电子邮件由冒充组织内权威人物的人发送,这是很常见的。这可以是中层经理、最高管理层,甚至是董事会成员。无论他们试图拉哪个级别,您都必须知道要注意什么以避免被骗。

自从我开始在 The SSL Store 工作以来,我收到了大量来自伪装成公司创始人、首席执行官或副总裁的人的骗子的网络钓鱼电子邮件。(顺便说一下,这被称为CEO 欺诈。)但是这些类型的消息是什么样的?好吧,事实是这些消息实际上可以跨越我们在本文中涵盖的几个类别。

让我们快速探索一个我们尚未在 Hashed Out 上分享的网络钓鱼示例:

网络钓鱼示例:The SSL Store 收到的 CEO 欺诈电子邮件的屏幕截图

这里首先要注意的是电子邮件地址。它来自一个名为“markrobinson”的帐户,这显然不是他的名字,而且它也来自一个 Gmail 帐户。Gmail 帐户是免费、轻松且快速创建的——每个网络犯罪分子都认为这三个特性非常吸引人。

其次,信息是用非常紧急的语言写的。(看主题行。)还记得我们之前谈过的吗?这完全是为了激起电子邮件收件人的情绪反应,这样他们就会按照要求去做,而不会停下来询问他们是否应该这样做。

最后要注意的是,冒名顶替者试图指示我将我的个人手机提供给他。这是一个很大的禁忌,因为它可以用于一连串的目的,包括:

  • 通过短信向我发送恶意链接,
  • 欺骗我的合法电话号码以尝试钓鱼我的一位同事或家人,以及
  • SIM 交换攻击涉及攻击者使用他们收集的有关我的个人信息,试图通过我的手机提供商访问我的电话号码。

在 Phish-mas 的第九天,黑客向我发送了 9 个人力资源和薪资电子邮件诈骗

可怜的内莉。可以想象,我们永远快乐的办公室经理收到了很多此类网络钓鱼邮件。薪资欺诈和其他相关的网络钓鱼诈骗通常针对会计、薪资和人力资源部门的员工。因此,在识别网络钓鱼电子邮件诈骗时,她知道应该注意什么,这是一件好事。

Nellie 也很精明,知道如果她收到有关更改任何员工工资单信息的未经请求的电子邮件请求,她应该使用其他渠道直接与员工联系(例如通过打电话或走到大厅与员工交谈)人直接)。她知道最好不要回复可疑的网络钓鱼电子邮件!

但是,工资转移诈骗电子邮件实际上是什么样的?让我们看一下她不久前收到的一封旧电子邮件示例,该电子邮件是假装是我们的销售副总裁的人发来的:

网络钓鱼示例:The SSL Store 收到的虚假直接存款请求更改电子邮件的屏幕截图

此类电子邮件旨在诱使她将 Kyle 的直接存款信息更改为由攻击者控制的虚假帐户。但是,从以“cf90910”开头的电子邮件地址可以看出,这绝对不是我们一位副总裁的电子邮件地址。

值得庆幸的是,Nellie 知道这些类型的技巧,并简单地将其转发给我,作为人们应该注意的 HR 薪资电子邮件网络钓鱼示例类型的示例。如果她不知道要注意什么,她很可能犯了直接回复电子邮件的错误。这会给 Kyle、Nellie 和我们整个公司带来很多问题。

当您收到有问题的电子邮件时,最好通过其他渠道直接与该人联系,以确认邮件的合法性。

当然,我最喜欢的另一个是这封电子邮件,它试图让我措手不及,吓得我点击嵌入的链接:

网络钓鱼示例:The SSL Store 收到的虚假购买请求网络钓鱼电子邮件的屏幕截图

 好吧,这里有很多错误:

  1. 该电子邮件来自一个未知名称,该名称与发件人的电子邮件地址信息不匹配。
  2. 没有自尊的公司会以这种方式解雇员工。SSL 商店绝对不会这样做!
  3. 它充满了写得不好的文字,甚至没有正确地写出我们公司的名称,并签署了“Kayla Wood 总部通知”。… 说什么?
  4. 嵌入的链接指向一个 bit.ly URL,当它展开时,会将我带到一个同样虚假的网站。

在 Phish-mas 的第 10 天,一名黑客发送给我...... 10 次浪漫骗局外展

知道浪漫骗局此时此刻正在影响世界各地的人们,很难心情愉悦。虽然这些骗局并不新鲜,但它们是最糟糕的(在我的书中),因为它们以最个人化的方式针对弱势群体,利用他们的情绪并窃取他们的积蓄。

在联邦调查局的互联网犯罪投诉中心(IC3)报告说600 多万 $报告了信心欺诈 / 爱情骗局的受害者 23751 在 2020年独自丢失。现在,请记住,这一估计仅包括已报告的事件,毫无疑问,不包括无数其他未报告的事件,因为受害者不知道他们被骗了或因为太尴尬而无法报告犯罪行为。

爱情骗局各不相同,但通常涉及以下内容:

  • 网络犯罪分子的目标是最近单身、丧偶或孤独的人。这里的想法是,因为他们可能在情感上很脆弱,所以更容易被利用。这些网络钓鱼示例通常来自电子邮件、短信和社交媒体宣传。
  • 一个坏人假装是一个潜在的浪漫兴趣。在这里,攻击者可能会伪装成潜在的追求者,以赢得受害者的信任,并将他们与合法的朋友和家人隔离开来。他们还可能假装拥有有关受害者的犯罪信息或私人信息,以用作勒索。
  • 攻击者伪装成受害者的朋友或亲戚。在冒充亲属的同时,攻击者会伸出手(通常通过电子邮件、电话或短信)说他们处于某种紧急情况,需要受害者立即提供经济帮助。

那么,这些类型的网络钓鱼示例之一是什么样的?以下是澳大利亚竞争与消费者委员会 (ACCC) 的 ScamWatch 的示例:

来自 ScamWatch Australia 的关系诈骗消息的屏幕截图
图片来源:澳大利亚竞争与消费者委员会(ACCC)。您必须单击插入部分中的“私密聊天示例”链接才能查看此图片。

现在,想象一下,如果有人使用这些骗局之一让您的一名员工向他们发送公司资金或提供对安全公司资源的访问权限。一切都将崩溃,您的组织和客户将因此而付出代价。

毋庸置疑,发送此类网络钓鱼消息的人绝对应该比他们的库存中的煤炭更糟糕......  

在网络钓鱼的第 11 天,黑客向我发送了 11 封勒索电子邮件

对于网络犯罪分子来说,没有什么比敲诈更能激发节日气氛和节日气氛了。例如,许多比特币网络钓鱼勒索诈骗涉及网络犯罪分子,他们要求加密货币支付,以换取不向您的雇主、朋友和家人发送涉嫌有罪或令人尴尬的信息、照片或视频片段。

其他勒索诈骗涉及坏人要求您的员工做坏事,以防止他们泄露不良信息。一个例子是针对手机供应商的员工,通过将合法客户的电话号码移植到网络犯罪分子控制的设备上,让他们进行 SIM 交换。

但他们如何实现这一目标?网络勒索诈骗的一些例子包括:

  • 说他们利用了某种漏洞,使他们能够访问您的设备浏览器历史记录、摄像头和 / 或麦克风。
  • 声称他们有你做不适当的事情(例如访问儿童色情网站)的视频记录。
  • 说他们还有其他涉嫌对你有罪的人,你不能冒险被公开。

现在,请注意,这些骗局通常是胡说八道,因为它们同时针对一群用户,希望其中至少有一个人在偷偷淘气,不想被抓住。然而,所需要的只是一名员工害怕并且不想冒险泄露他们的秘密而导致您的组织或客户受到损害。

这是我的一位前同事不久前收到的一个这样的例子:

The SSL Store 收到的勒索邮件截图

在这种情况下,攻击者声称利用了当时广为流传的 Zoom 零日漏洞。他们声称已利用该漏洞访问你的 Zoom 应用程序,在那里他们可以记录你做的坏事——如果你交出 2,000 美元的比特币,他们就会与你认识的每个人分享这段视频。

……呵呵,呵呵,确实。

在 Phish-mas 的第 12 天,黑客向我发送了...... 12 个访问资源的请求

好的,是时候结束这份不太愉快的网络钓鱼示例列表了。这种类型的网络钓鱼诈骗是最无耻的诈骗之一。它涉及攻击者试图欺骗或操纵您,让他们直接访问您的设备、安全资源或组织的 IT 系统。

  • 如果您允许他们访问安全资源(例如数据库、Web 应用程序、管理门户和驱动器),那么他们就可以使用该访问权限来更改、窃取或删除您最敏感的数据。
  • 如果他们获得了您设备的访问权限,他们就可以使用该访问权限作为您组织网络的立足点。
  • 最后,如果他们获得了对您网络的访问权限,那么他们就可以使用它来搜索可以利用的错误配置和其他漏洞。

那么,这些虚假的访问请求是什么样的呢?这是一个快速示例:

由 The SSL Store 创建的虚假网络钓鱼电子邮件示例

注意:上面和下面的屏幕截图不是合法的网络钓鱼电子邮件。我为这篇教育文章创建了两个特定的网络钓鱼示例图像)。

乍一看,这可能是我的主管发来的电子邮件。但是,电子邮件地址显然会泄露它,因为:

  • 这不是他的工作电子邮件地址(也不是 Gmail 帐户),并且
  • 他从不向我索要此类敏感信息,因为他知道这是一种安全风险。
由 The SSL Store 创建的虚假网络钓鱼电子邮件示例

在这种情况下,我知道最好的办法是通过另一种可信赖的方法直接与他联系(无论电子邮件声明中说不要给他打电话)。Adam 和我都知道我 100% 需要直接确认此类请求,并且绝不会简单地交出此类机密信息以响应如此意外(且紧急)的电子邮件请求。

每个员工都有助于形成公司最强或最弱的防线 - 差异通常归结为他们是否具有网络安全意识来识别和避免网络钓鱼诈骗和其他网络威胁。

关于 Phish-Mas 网络钓鱼示例 12 天的最终想法

我们希望您发现这篇文章对您了解网络钓鱼诈骗是什么样的具有启发性和有用性,以便您知道将来要避免什么。

数据安全和在线安全依赖于人们了解不同类型的威胁和诈骗策略。如果您不知道自己不知道的事情,您如何帮助自己、您的公司或您的客户和数据免受网络犯罪分子的侵害?简单地说,你不能。这就是为什么必须投入时间、精力和注意力来教育您自己和您的员工,让他们知道如何识别和应对网络钓鱼企图。

此外,拥有合适的工具和资源来帮助简化流程。例如,在您的组织内使用电子邮件签名证书来确保您的团队发送经过数字签名、可验证的电子邮件。使用这些证书意味着电子邮件发件人必须有权访问该用户的设备和电子邮件客户端才能发送邮件。

上一篇:PKI 体系结构:设计私有 PKI 系统的基础 [2021年12月23日]

下一篇:无