Content
抵御网络钓鱼诈骗攻击的最佳实践
当您还想当然地认为当今电子商务领域依旧太平的时候,网络钓鱼诈骗已悄然成为全球最具危险性的诈骗之一。
网络钓鱼诈骗散发的电子邮件中包含返回地址、链接和图片,这种电子邮件貌似合法,与金融机构发给客户的邮件没什么不同。
遗憾的是,这类电子邮件的唯一目的就是欺骗蒙蔽收件人,进而窃取他们的个人帐户、信用卡和其他机密信息。 一旦消费者共享了这些信息,网络钓鱼诈骗者就会不费吹灰之力地盗取到他们的身份信息,然后使用窃取的信息进行欺骗交易。
网络钓鱼诈骗者还会通过诱骗客户访问网络钓鱼诈骗网站或者在客户计算机上安装间谍软件,来盗取客户私人信息,这样,当客户访问合法站点时,隐私信息就自然而然地落入魔掌。
威胁无处不在
近来,面对这些欺诈威胁,社会各界人人自危。 企业、金融机构、保险代理公司和信贷组织的客户,都已成为网络钓鱼诈骗肆虐的受害者。
由于大多数电子邮件都是随机发送的,因此,网络钓鱼诈骗者将魔掌伸向了知名大企业。 知名大企业通常拥有较多客户,这给诈骗者大范围散发欺骗性电子邮件创造了条件。
实际上,各种声称来自联邦存款保险公司和美国银行家协会的欺骗性电子邮件已在全球范围内散播, 甚至连 FBI 也未能躲开网络钓鱼诈骗的骗术。
目前,网络钓鱼诈骗威胁丝毫未有缓和之势。 据反网络钓鱼诈骗工作组(致力于抵制身份资料盗取和欺诈的行业协会)报告,2004 年 1 月共发生了 176 起新的、独特的网络钓鱼诈骗攻击,平均每天有 5.7 起新攻击。 到 2004 年 6 月,报告的独特网络钓鱼诈骗攻击数量已激增至 1,422 起。
据分析人员估计,多达 5% 的欺骗性电子邮件请求实际上已顺利窃取到收件人的机密数据。 事实上,用户并非网络钓鱼诈骗威胁的唯一受害者。 2 月份,美国一家排名前 20 位的银行在受到网络钓鱼诈骗攻击后,一个小时内接到 90,000 个电话,致使业务瘫痪长达 5 个小时之久。
更为严重的是,网络钓鱼诈骗攻击的受害者将可能面临失去网络客户信任的风险。 例如,如果一家银行被诈骗者盯上,其客户很可能对在线银行交易有所回避。
慧眼识骗局
最近,网络钓鱼诈骗者开始采取一些更狡猾的欺骗手段行骗,如使用弹出窗口和假冒的挂锁符号来欺骗缺乏防患意识的访问者。 虽然这样,但还是有一些方法能够避免网络钓鱼诈骗攻击。 McAfee 建议企业制定有效的电子邮件内容安全策略,并经常进行交流,从而将网络钓鱼诈骗邮件与合法邮件隔离开来。
例如,企业永远不要要求客户填写电子邮件内嵌的任何表单。 这种情况下,如果客户收到包含表单的电子邮件,将立即被标识为网络钓鱼诈骗攻击。
接下来,企业应该告知客户如何去辨别合法的电子邮件和诈骗性的电子邮件。 为此,企业应该制定一项策略,将身份验证信息嵌入发送到客户的每封电子邮件中。
例如,有些企业要求客户将特定的个性化图片嵌入电子邮件,这增加了网络钓鱼诈骗者模仿合法电子邮件的难度。
企业应尽量避免在以 HTML 编码的电子邮件中添加可单击的链接。 鉴于网络钓鱼诈骗者的主要目的是窃取密码,因此,企业应尽量避免客户在登录网站时输入敏感信息。 实际上,相对于密码和社会保障号,智能卡和其他身份验证标记是更加高级的身份验证方法。
客户还应尽可能将 Web 浏览器的安全性设置为最高,并将浏览器配置为显示 http 警告,以便了解所访问的站点是否安全。
如果企业能够主动对 Internet 进行监控,查找潜在的网络钓鱼诈骗网站,就可在网络钓鱼诈骗者散发诈骗性电子邮件时,有效加以防范。
最后一点,对企业而言,实施高质量的安全内容管理解决方案(企业通常作为业务服务提供给客户的工具)永远都是明智之举。 例如,McAfee 会提供能够在网关标识网络钓鱼诈骗的反垃圾邮件解决方案、能够截获密钥记录程序的防病毒桌面解决方案,以及用于网站托管的入侵防护工具。 通过安装此类防护解决方案,企业可以确保所有进出邮件的安全,有效避免恶意内容感染网络或影响用户。
