引言：很多企業(yè)員工都收到過類似這樣的郵件：要求其快速行動，并提供用戶名和口令，或者通過一個看似合法的（但本質(zhì)是欺詐性的）網(wǎng)站索要其生日等信息，而且目的是為了驗證用戶身份。人們的直覺就是單擊郵件中的鏈接，或者打開附件，解決問題。事實上，這種郵件應(yīng)當(dāng)引起收件人的警覺，因為它有可能就是釣魚攻擊。

很多企業(yè)員工都收到過類似這樣的郵件：要求其快速行動，并提供用戶名和口令，或者通過一個看似合法的（但本質(zhì)是欺詐性的）網(wǎng)站索要其生日等信息，而且目的是為了驗證用戶身份。還有，有的雇員會收到一個請求，要求其更新銀行賬戶的細(xì)節(jié)，因為其賬戶遭到了攻擊；否則，系統(tǒng)會關(guān)閉其賬號。

人們的直覺就是單擊郵件中的鏈接，或者打開附件，解決問題。事實上，這種郵件應(yīng)當(dāng)引起收件人的警覺，因為它有可能就是釣魚攻擊。

釣魚攻擊與魚叉式網(wǎng)絡(luò)釣魚

釣魚攻擊是網(wǎng)絡(luò)罪犯吸引用戶泄露個人信息的一種技術(shù)，網(wǎng)絡(luò)罪犯也可以將這種伎倆用于虛假網(wǎng)站。釣魚者的目標(biāo)是訪問網(wǎng)絡(luò)中的敏感信息。這種攻擊往往使用僵尸網(wǎng)絡(luò)來傳播給大量雇員，即使僅有其中的一個人單擊了鏈接，也可以泄露敏感數(shù)據(jù)，或者在受害者電腦上安裝惡意軟件，使犯罪者可以坐收漁利。

有時這種攻擊專門針對企業(yè)內(nèi)部特定的個人或幾個人?；蛘咂涔魧ο蟛⒎且话銈€人，而是特定公司的成員，所以，被竊取的信息并不同于一般網(wǎng)絡(luò)釣魚所竊取的個人資料，而是具有高度敏感性的資料，如知識產(chǎn)權(quán)及商業(yè)機密。這種攻擊就是魚叉式網(wǎng)絡(luò)釣魚。

魚叉式網(wǎng)絡(luò)釣魚可能更難以檢測和識別，因為其誘餌是定制的和個性化的，看起來甚至很合法和合理。這種攻擊可能來自即時消息、社交網(wǎng)絡(luò)，或是電子通信的其它形式。

潛在的受害者往往相信這些郵件就是來自可靠的機構(gòu)，并且愿意提供個人信息，而不去進(jìn)一步探究為什么自己會被要求提供這些信息。郵件看似來自可信任的源頭，但其實際上是設(shè)計來欺騙接收者泄露敏感信息（信用卡號、SSN、PIN等）。

依據(jù)魚叉式網(wǎng)絡(luò)釣魚的范圍不同，罪犯可能花費大量時間來創(chuàng)建郵件，其使用的都是真實姓名等信息。攻擊者還可能創(chuàng)建欺詐性網(wǎng)站以作為誘餌。

如何防范魚叉式網(wǎng)絡(luò)釣魚

防火墻和惡意軟件掃描有助于對付魚叉式網(wǎng)絡(luò)釣魚。系統(tǒng)管理員可以使用工具來識別可疑通信，并且阻止雇員在網(wǎng)絡(luò)上使用社交媒體，在釣魚攻擊成功實施之前就阻止它。但是，技術(shù)方案并不能完全阻止魚叉式釣魚攻擊，而只能在一定程度上識別有惡意目的的電子郵件。

魚叉式網(wǎng)絡(luò)釣魚的成功依靠的是找到公司網(wǎng)絡(luò)中最薄弱的環(huán)節(jié)，例如，輕信電子郵件的一個雇員。因為這種攻擊的靶子就是用戶，用戶正是公司防御的第一道防線。安全意識培訓(xùn)就是對付這種攻擊的最佳防御。用戶們越理解風(fēng)險，就越有可能避免做出沖動的行為，避免泄露機密信息，也就能夠更好地評估每一個要求。

企業(yè)還需要對經(jīng)理和高級官員進(jìn)行培訓(xùn)，因為這些人往往是魚叉式釣魚攻擊的主要目標(biāo)。用知識武裝公司的雇員有可能無法完全阻止魚叉式釣魚，但卻有助于減少其可能性。

大量的對企業(yè)網(wǎng)絡(luò)的攻擊都是由于成功實施魚叉式釣魚的結(jié)果。用知識來武裝雇員從而識別多數(shù)攻擊有助于強化公司的安全。得到良好培訓(xùn)的團(tuán)隊可以更容易識別魚叉式釣魚電子郵件、網(wǎng)站等可疑行為。培訓(xùn)應(yīng)使雇員們理解魚叉式釣魚的類型，以及相關(guān)風(fēng)險和如何正確的解決和應(yīng)對攻擊。