企業應該如何防范這種釣魚方式呢

我們知道許多通過惡意軟件或系統漏洞來竊取密碼的技術方法，而其中最難抵禦的方法之一就是讓用戶在不知情的狀況下主動披露自己的登錄憑證。

是的，這叫網絡釣魚。 具體來說，網絡釣魚是一種欺騙用戶訪問假冒網絡釣魚網站並輸入其登錄憑證的技術。

然而，一旦涉及網絡釣魚郵件看似來自工作相關的內容，或其他可信來源，用戶將很難判斷其真偽。

試想，如果你收到一封電子郵件，聲稱企業的IT部門，登錄新的人力資源體系，為受邀請的用戶。該公司也有溝通和渠道很正規的方式，那麼這不能不注意到這是很奇怪的方式。

然而，如果不是這樣，電子郵件可能會提示用戶點擊鏈接，如果釣魚網站看起來足夠令人信服，受信任的用戶甚至可以輸入他自己的登錄憑證，等等，攻擊者的惡意意圖就完成了。

那麼，企業應該如何防范這種釣魚方式呢?一個最好的防禦是實現雙因素認證成為可能。如果登錄憑證被盜，使用這些證書之前，攻擊者需要第二個認證因素。這些措施無法防止攻擊者竊取的登錄憑據，但可以有效防止誰成功利用這些獲得憑據的攻擊者。

另一個重要的防禦是用戶安全培訓。

培訓使用者可加深他們對仿冒詐騙技巧的認識，以識別仿冒詐騙活動。 此外，它使安全團隊能夠從技術人員可能認為理所當然的用戶行為中學習有價值的洞察力。

例如，用戶可能會習慣於這樣的假設，即組織已經過濾了電子郵件，以防止任何惡意郵件傳遞，但這個假設是錯誤的。無論采取怎樣高質量的電子郵件保護措施，都可能不可避免地“放過”一些惡意電子郵件。

這同樣是一個惡意網站如此。用戶可以理所當然地認為，有保護，防止惡意網站已被過濾，但即使是最好的Web過濾工具可能會失去少量的惡意網站。

一旦用戶明白沒有任何安全工具能夠完全阻止所有惡意的電子郵件或網站，他們可能會發展出一種高層次的責任，以幫助維護組織的網絡安全。

此外，用戶必須明白，攻擊者可以輕易地建立釣魚網站。

對於攻擊者來說，建立一個包含登錄表單、標題和組織標識的網站是一件非常簡單的事情。此外，攻擊者可以很容易地克隆任何公開的網頁(甚至你公司的網頁)，並注冊一個類似的域名，以混淆用戶。

更重要的是，攻擊者還可以得到一個免費的證書，以顯示鎖形圖標，這只是意味著該網站的URL和證書相匹配，並且流量被加密，但是這並不能保證用戶的安全。

用戶是安全方程的重要組成部分..因此，重視用戶培訓使他們能夠做出正確和安全的選擇，建立企業安全意識文化將有助於企業在安全形勢下取得巨大成功。