2022年，7月25日

写在前面：好的用户网络安全意识培训应该是内容全面，容易被用户接受。本篇文档结合厂商自己的经验，以十二种技术场景为例，覆盖最终用户应该了解的网络安全风险，娓娓道来，有趣而不枯燥，共分三次介绍。这次的四篇有很大的雷同性，虽然说法不一，但技术上都差不多。

       “最终用户意识培程序应该以网络安全框架作为基础。理想情况下，框架包含组织的标准、指南和用于管理网络安全风险的最佳实践。”

       对于今天的员工来说，最终用户安全意识培训是必须的，将帮助组织抵御不断发展的网络威胁，特别是网络钓鱼。花费时间和精力教育您的员工，您的组织可以大大降低网络攻击对您的网络和组织安全的风险。

       本博客解释了最终用户意识培训包含的内容，它对组织的意义，并介绍了十二个重要主题，以备您给员工培训时候使用。

为什么用户安全意识培训很重要?

       对于任何组织的网络和使命来说，不了解所有潜在网络威胁类型的员工都是严重的安全风险。简而言之，今天的员工不能没有网络安全意识培训。

       网络罪犯将攻击目标锁定在你的员工身上，因为他们认为员工是容易攻击的、高价值的目标，可以很容易地操纵他们点击钓鱼邮件中的链接；不经意间下载文件；或者在不知情的情况下允许威胁行为人进入办公室或设施。

       一次成功的攻击，例如错误地点击一次超链接，可以带来数百万美元的损失，您的组织也会成为网络罪犯多次攻击的重复目标。即使有网络保险，一个机构付出的代价，可能是数百万美元的合规罚款，以及品牌信心、收入、股东价值等方面的损失。

什么是最终用户意识培训?

       为了武装你的员工，最终用户意识培训项目是一个更好的老师，而不是让他们承受成功网络攻击的痛苦后果。在这种情况下，“从经验中学习”非常不可取。

       最终用户意识培训计划是企业为加强员工力量、防止网络罪犯得逞而采取的一项举措。一些公司设计自己的培训计划，但我们建议与拥有网络意识培训程序、并在防御网络威胁方面拥有多年成功经验的网络安全供应商合作。

       网络安全意识从个人开始，每个员工都有责任保护他们组织的信息和资产。

如何建立最好的用户意识培训计划

       让网络安全意识成为组织工作文化中不可或缺的、持续的元素至关重要。网络安全意识从个人开始，每个员工都有责任保护他们组织的信息和资产。

       最好的网络意识培训项目都是交钥匙式的，直观管理界面包括活动建设、监控学生进度和报告结果，以及学生门户界面、学习模块、强化短视频和补习练习。

建立具备网络知识的员工队伍指南

       Fortinet编写了建立网络意识员工队伍的指南，构建最终用户意识培训计划，称为设定目标和规划您的安全意识和培训程序。本指南描述了以下六个步骤:

1. 设计和开发

2. 实施和开展

3. 监控和管理

4. 重建和加强

5. 检查和提高

6. 访问和定义

       此外，在开始六步流程之前，你应该做两项关键的初步活动：

1. 评估您的组织风险，以便您有一个网络安全风险基线作为衡量标准
2. 得到领导团队的全力支持。

       一个最终用户意识培训项目应该有一个网络安全框架作为基础。理想情况下，该框架包含组织用于管理网络安全风险的标准、指导方针和最佳实践。该框架可用于记录政策和步骤，突出组织在管理其网络安全风险时遵循的最佳实践。

       总而言之，最终用户意识培训项目必须是全面的、最新的、设计良好的、由高管支持的、有参与性的，这样你的员工才能学习并更好地武装自己和组织抵御网络犯罪。

最终用户安全意识培训应涵盖的12个关注领域

       在任何有效的用户意识培训课程中，都必须很好地涵盖许多值得关注的领域。您的员工需要学习如何管理以下领域的威胁:

1. 网络钓鱼

2. 勒索软件

3. 社会工程

4. 社交媒体的使用

5. 使用互联网和电子邮件

6. 移动设备安全

7. 可移动介质和设备

8. 密码和身份验证

9. 物理安全

10. 随处办公(Work from Anywhere，WFA)

11. 公共无线网络

12. 云安全

https://www.fortinet.com/blog/business-and-technology/12-areas-to-cover-in-cybersecurity-user-awareness-training

网络钓鱼

网络钓鱼的定义

       网络钓鱼攻击是一种网络安全威胁，通过电子邮件、文本或直接消息发给目标用户。其中有一种骗局，攻击者将伪装成受信任的联系人，窃取登录名、账号和信用卡信息等数据。

场景通常是这样的：

1. 个人从他或她的银行(例如，大通银行)收到一封电子邮件。

2.  这封邮件似乎是从大通银行发出的，邮件中嵌有大通银行的标志。

3. 这封邮件说明个人账户存在紧急问题，并指示她立即点击一个链接来处理此事。

4. 一旦个人点击链接，她就会被带到一个模仿大通银行的网页。

5. 在不知情的情况下，该用户输入了自己的用户名和密码进入网站。

       在这个方案中，骗子已经收集了个人的银行凭证。此外，通过访问欺诈银行网站，个人可能在一无所知的情况下将恶意软件下载到她的电脑，跟踪和收集其他数据，并发送给骗子。

       这种恶意行为的动机通常是经济方面的。根据2020年《Verizon数据泄露调查报告》，3950起泄露事件中有86%是出于经济动机。

       在企业层面，网络钓鱼可能产生更大的后果。只要允许一个骗子进入公司网络，就可能发生数据泄露，使组织容易遭受损失和盗窃。虽然电子邮件仍然是企业最重要的通信工具，但不幸的是，它也使其成为最大的威胁载体，攻击的数量和复杂性都在不断增加。网络钓鱼活动的严重性和成本持续存在，组织必须了解这种网络钓鱼，以对抗电子邮件安全问题。

网络钓鱼攻击的类型

       随着网络攻击者的技术变得更加复杂和富有创造性，网络钓鱼的尝试可以是多种多样的。这些攻击的共同目的是：身份偷取或传输恶意软件。下面是对不同类型的信息攻击的回顾。

1.鱼叉式网络钓鱼

       一般的电子邮件攻击使用类似垃圾邮件的策略一次轰炸数千个邮件，而鱼叉式网络钓鱼攻击则针对组织中的特定个人。在这种类型的骗局中，黑客根据目标的姓名、头衔、工作电话号码和其他信息定制电子邮件，以欺骗收件人，使其相信发件人私下或在工作上认识他们。鱼叉式网络钓鱼是针对有资源的组织研究和实施这种更复杂的攻击形式。

2.捕鲸

       捕鲸是鱼叉式网络钓鱼的一种变体，目标是首席执行官和其他高管(“鲸鱼”)。由于这些人通常可以不受限制地访问公司敏感数据，因此风险回报要高得多。捕鲸主要由高级犯罪组织实施，他们有资源进行这种形式的攻击。

3.商务邮件入侵（Business Email Compromise，BEC）

       商务邮件入侵攻击的目的是冒充高级管理人员，欺骗员工、客户或供应商将商品或服务的付款电汇到另一个银行账户。根据联邦调查局2019年互联网犯罪报告，商务邮件入侵骗局是2019年最具破坏性和最有效的网络犯罪类型。

4.克隆钓鱼

       在这种类型的攻击中，骗子创建一个几乎完全相同的真实电子邮件的副本，例如一个人可能从银行收到的警报，以欺骗受害者分享有价值的信息。攻击者将原始邮件中看似真实的链接或附件替换为恶意链接或附件。这些电子邮件的发送地址通常与原始发件人的地址相似，因此很难被发现。

5. 电话钓鱼（Vishing）

       也被称为语音网络钓鱼，在欺诈中，骗子欺骗性地在受害者的来电显示上显示知名的、可信的组织的真实电话号码，如银行或国税局，以诱使收件人接听电话。然后，骗子冒充高管或官员，使用社会工程或恐吓策略，要求支付据称欠该组织的钱。Vishing还包括发送语音邮件，要求受害者回拨一个号码；当受害者这样做时，受害者被骗输入他或她的个人信息或帐户详细信息。

6.雪鞋

       在雪鞋计划中，攻击者试图绕过传统的电子邮件垃圾邮件过滤器。他们通过多个域和IP地址发送消息，发送的消息数量如此之少，以至于基于声誉或基于数量的垃圾邮件过滤技术无法立即识别和屏蔽恶意消息。有些信息在过滤器学会屏蔽之前就进入了电子邮件收件箱。

发现网络钓鱼企图的7个技巧

       下面是发现可疑邮件的7个有用的提醒，这样就可以在损害发生之前阻止攻击。

1.假设每封邮件都是潜在的网络钓鱼企图

       虽然这听起来很极端，但用户仔细检查电子邮件以确定其真实性是很重要的。用户不应该完全信任他们组织的垃圾邮件过滤器，因为这些传统的电子邮件安全工具不能对某些类型的攻击提供最强大的防御。一些组织已经开始实现零信任网络访问(ZTNA)，以确保与私有应用程序的连接安全，从而减少对internet上应用程序的暴露。

2.检查和验证地址

       防止网络钓鱼的最好方法之一就是简单地检查和验证电子邮件的“发件人”地址。每次收到突然来自银行、支付服务机构、零售商甚至政府的邮件时，都应该这样做，尤其是过去通常没有收到的工作邮件。

3.阅读电子邮件

       打开邮件并阅读它。用户应该能够确定某些因素是否出现异常。问这样的问题:

• 这封邮件看起来紧急吗?

• 这封邮件是否给你提供一些简单地“好得令人难以置信”的东西?

• 你在与你联系的那家公司有账户吗?

       如果任何事情看起来奇怪，就不要再做任何事情。

4.检查语法和拼写

       通常语法、拼写甚至格式都可能是危险信号。来自银行、信用卡公司、支付服务机构或美国国税局的正式电子邮件通信不包含拼写错误，总是使用正确的商务英语。如果你习惯了这类邮件的用词和语气，而这封邮件看起来不一样，那么它很可能是一次网络钓鱼。

5.寻找你的名字

       除了语法和拼写之外，还要寻找与你的名字和称呼有关的其他元素。合法的公司，尤其是那些与你有往来的公司，不会笼统地称呼你。一个通用的问候语(例如“亲爱的女士”)可能是一个骗局的迹象。

6.检查请求

       在查看邮件时，检查是否有任何特殊的、奇怪的请求。大多数欺诈邮件要求收件人回复邮件或点击邮件中的链接。任何特别或不必要的紧急事件都极有可能是网络钓鱼事件。

7.寻找链接和附件

       骗子的目标是让受害者点击链接或下载附件。这样做会导致恶意软件自动下载，感染受害者的电脑。为了确定一个链接的有效性，用户应该将鼠标移到它上面。如果通常出现在屏幕左下角的链接显示了一个不熟悉的域名的长URL，则不应单击该链接。同样，一个附件，即使是一个看起来无害的名字，如“月报”和熟悉的文件扩展名，如PDF，也可能是恶意软件，不应该双击或下载。

如何保护自己免受网络钓鱼

       以下是您的组织保护其员工和网络免受网络钓鱼攻击的一些方法。虽然训练有素的员工是组织的最佳防御，但组织仍然可以采取一些预防性措施。

1.使用垃圾邮件过滤器

       这可能是一个组织可以采取的最基本的防御措施。大多数电子邮件程序(如Outlook、G Suite)都包含垃圾邮件过滤器，可以自动检测已知的垃圾邮件发送者。

2.定期更新安全软件

       组织应该确保所有的安全补丁都已更新。这可以检测和删除 通过钓鱼意外进入员工PC的恶意软件或病毒。此外，应该更新安全策略，以包括密码过期和复杂性。

3.使用MFA

       多因素身份验证需要多个信息片段，以便某人能够登录并获得访问权限。在骗子已经窃取了一些员工凭证的情况下，这一点很重要。有了MFA，特别是如果它包含生物识别认证，骗子就被挡在了门外。

4.备份你的数据

       所有数据都应该加密和备份，这在发生入侵或泄露的情况下是至关重要。

5.不要点击链接或附件

如前一节所述，教育员工如何发现有问题的链接和附件，并指导他们避免点击或下载来自他们不信任的来源的内容。

6.屏蔽不可靠的网站

       如果员工无意中点击了恶意链接，可以使用网络过滤器阻止对恶意网站的访问

厂商如何提供帮助?

       以企业和商业网络为目标的网络钓鱼可能具有特别大的破坏性。只要有少数不知情的员工，骗子就可以获得大量的企业数据，包括客户银行和信用卡信息。潜在的威胁非常高，组织必须使用一系列安全策略来保护自己。

1.沙盒

       沙盒安全解决方案为用户提供了一个恶意软件沙盒。这个系统将特定应用程序的操作限制在隔离环境中。例如，一个感染了恶意软件的Word文档，一旦打开，就会感染你的电脑，甚至会传播到网络的其他部分。然而，在恶意软件沙盒中，恶意软件被限制在环境中，与计算机的其他部分隔离开来。

2.Web流量检测

       安全web网关提供灵活的部署选项，在不损害终端用户体验的情况下，保护用户免受基于互联网的威胁。

3.员工教育

       持续的员工教育是抵御这些攻击的最重要的防御手段之一。这不仅包括工具(过滤器，认证)的培训，还包括意识(识别恶意链接和知道如何报告网络钓鱼)的培训。

4.电子邮件安全

       为了提高安全性，企业应该考虑使用安全邮件网关解决方案。使用一个全面的、多层次的方法来处理所有入站和出站邮件流量。

勒索软件

什么是勒索软件?

       勒索软件是什么？勒索软件是一种特定类型的恶意软件，它以客户数据为要挟来换取赎金。它威胁发布或破坏数据，或阻止用户工作或访问他们的计算机，除非他们满足攻击者的要求。

       虽然这种勒索软件的含义强调了攻击的威力，而且这种攻击的频率也在增加。事实上，2019年检测到的主要勒索软件网络攻击数量飙升了820%，预计到2021年，全球组织将损失200亿美元。

含义：勒索软件的发展

       勒索软件技术最初是由哈佛大学培养的进化生物学家约瑟夫·波普(Joseph L. Popp)开发的。他在瑞典斯德哥尔摩举行的世界卫生组织国际艾滋病会议上，向与会者分发感染了勒索病毒的软盘，发动了艾滋病木马。这些代码隐藏了他们电脑上的文件目录，并要求向巴拿马汇款189美元以解除电脑的限制。

       尽管从那时起，勒索软件的风险已经有了很大的发展，但它的主要任务仍然没有改变：从毫无戒心的用户那里敲诈或诈骗钱财。它从软盘发展到通过电子邮件、声音和视频下载，甚至隐藏在图像内部，在互联网上传播。近年来，它一直是虚拟货币挖矿者的工具，他们需要计算能力来生成加密货币。由于挖掘数字资产需要大量昂贵的电力，勒索软件已被开发出来，以迫使用户的计算机挖掘加密货币，为数百或数千英里外的操作者提供利益。

勒索软件的定义：勒索软件如何工作?

       固件更新可以使硬件设备继续高效、安全地运行。这些更新通常涉及某种形式的程序更改，以修复已知的错误或针对特定漏洞的补丁。

       勒索软件是如何工作的?不管勒索软件的定义是什么，一旦它进入你的电脑，它就会秘密地感染它。然后，该软件继续攻击文件，在用户无法察觉的情况下访问和修改凭证。结果，计算机基础设施实际上被控制恶意软件的人劫持了。

1.文件加密

       被称为加密软件的勒索软件会对受害者的工作文件或个人电脑进行加密。这使得计算机的所有者无法搜索或访问这些文件，除非他们向攻击者支付赎金。攻击者是唯一能够访问这些文件的人，因为它们隐藏在加密密码后面。有时，攻击者会锁定整个计算机，然后在告知新密码之前要求赎金。

       通过leakware和doxware（泄露软件），攻击者威胁称，如果受害者不支付赎金，就会公布他们硬盘上的敏感信息。拥有专利和敏感技术原理图等专有信息的公司可能会发现自己是泄漏软件最喜欢的目标。

2.赎金和要求

       黑客倾向于通过西联汇款(Western Union)或短信等方式要求支付赎金。这有助于他们隐藏自己的身份。一旦他们拿到钱，他们就会解密文件，释放系统。由于比特币的匿名性和缺乏中间人，一些人要求通过比特币支付达成和解。

       请记住，一些攻击者伪装成美国执法人员或政府官员。他们可能会说，他们关闭了受害者的电脑，因为在上面发现了色情或盗版软件。然后，他们要求受害者支付一笔“罚款”，然后才放过他们的电脑。

勒索软件攻击

       如今，勒索软件经常通过钓鱼邮件发送。这些恶意附件被打开后会感染用户的计算机。有些病毒，如CryptoLocker，充当特洛伊木马，感染您的计算机，然后寻找要加密的文件。勒索软件也可以通过下载传播，即当用户访问一个碰巧被感染的网站时。然后在用户不知情的情况下，该网站上的恶意软件被下载和安装。

       社会工程在勒索软件攻击中也扮演了重要角色。这是指人们试图操纵他人泄露个人或机密信息。一个常见的社会工程策略是使用电子邮件或文本恐吓目标，让其分享敏感信息，打开恶意文件，或点击恶意链接。

1.Malspam

       Malspam是“恶意邮件”的缩写，它是将恶意软件发送到目标邮箱的电子邮件。邮件中的附件或url(网址)可能包含或链接到恶意软件，或者里面可能有钓鱼信息。

2.恶意广告攻击（Malvertising）

       恶意广告涉及传播感染了恶意软件的图形或文字广告。它们往往无法与普通广告区分开来，而且可能出现在普通的、无害的广告旁边。

常见的勒索软件攻击目标

       网络犯罪分子喜欢摘容易的果子，通常包括中小型企业，因为它们没有足够的安全措施。中小企业也不太可能拥有大型IT专业人员团队，他们了解什么是勒索软件攻击。

       勒索软件攻击也针对迫切需要访问自身文件的公司，例如依赖数据库和应用程序库来运行日常业务的组织。企业可能会认为，即使攻击者要求几千美元，如果业务继续中断，他们将损失更多。

       任何拥有他们真正想要保密的信息的人也可能会发现自己成为目标。攻击者可能知道隐私对目标有多重要，并会收取高额费用，以换取不公布他们的数据。

       不幸的是，任何人都可能成为目标。事实上，恶意软件甚至不需要从攻击者直接发送到受害者的计算机。它可以自己传播。恶意代码可以嵌入到看起来正常的广告中。任何人都可以点击它，最终成为受害者。

       虽然攻击在台式电脑和笔记本电脑上最常见，但任何带有操作系统的设备都可能成为受害者。这包括手机、平板电脑和其他移动设备。为了确保所有设备的安全，可能需要一个全面的端点检测和响应(EDR)解决方案。通过EDR，您可以实时识别威胁，并对网络上的设备进行准备和保护，使它们不容易受到攻击。

勒索软件是什么?：勒索软件的类型

       不幸的是，网络犯罪分子发起这些既便宜又容易的攻击。这些软件解决方案价格低廉，而且在暗网上很容易获得，最近的一些勒索软件攻击使用的是廉价且容易找到的恶意软件。勒索软件有几种不同的类型，以下是一些最流行的勒索软件例子：

1.恐吓软件

       恐吓软件是一种恶意软件，它利用社会工程来恐吓、震惊或引起受害者焦虑。然后，这个人被操纵去购买他们不需要的软件。恐吓软件通常会告诉受害者，他们已经接触到了一种人造病毒，甚至是另一种类型的恶意软件。避免恐吓软件的最好方法是对任何声称你的电脑已经被感染的说法进行事后确定，除非它们来自知名的、可信的病毒防护服务厂商。

2.屏幕锁定

       屏幕锁程序锁你的电脑屏幕，使它看起来无法访问。而不是你正常的屏幕，你可能会收到一条信息，在你被允许再次访问你的屏幕之前，要求付款。它可能来自一个假冒的执法机构，要求你使用在线支付服务给某人汇款。如果你已经被屏幕锁程序感染，当局建议不要支付赎金。您可以在清除系统后使用最近的备份来恢复您的计算机。

3.加密勒索软件

       加密勒索软件使用先进的加密算法加密您设备上的数据。你会收到一条信息，上面解释了你需要支付多少钱，以及你必须采取哪些步骤才能重新访问你的文件。与屏幕锁类似，你可能不得不恢复最近的备份，以使你的计算机重新运行，而不向攻击者的要求屈服。

4.一些新兴的威胁

       勒索软件威胁在不断演变和变得更加严重。随着新的安全措施的出现，黑客正在设计越来越多的方法来入侵个人和企业的计算机。像勒索软件即服务(RaaS)这样的威胁变得越来越普遍。通过RaaS，人们可以购买或租用一个完整的勒索软件包，他们可以向任何他们想要的人发送。有时，他们会与RaaS供应商分享利润。

       尽管美国司法部(DOJ)对攻击者采取行动，但政府机构仍将继续成为攻击的目标。当黑客能够关闭哪怕是一个很小的政府部门——无论是地方的还是国家的——它就会影响到一大批人的生活，这就使得支付赎金并重新启动和运行变得特别诱人。

5.勒索软件术语

       虽然术语有时只是由少数思想领袖创造出来的，但它很快就会成为日常生活的一个元素。在网络安全领域，简明的行话让“业内人士”更容易谈论威胁和用于对抗威胁的技术。在勒索软件方面尤其如此，了解勒索软件的行话不仅能让你深入了解勒索软件罪犯的世界，还能让你更容易躲过他们的攻击。这里有一些在勒索软件战场上你应该熟悉的行话。

勒索软件检测

       有效的勒索病毒检测涉及教育和技术的结合。以下是一些最有效的检测和防止勒索软件攻击的方法：

1. 1.       确保员工了解勒索软件：教员工如何识别勒索软件的迹象，比如被设计成来自真实企业的电子邮件、可疑的外部链接和有问题的文件附件。

2. 2.       创建蜜罐：蜜罐是一种诱饵，由伪造的文件库组成，看起来像是攻击者有吸引力的目标。当勒索软件黑客攻击你的蜜罐时，你可以检测并阻止攻击。

3. 3.       监视网络和端点：通过小心的监视，您可以记录传入和传出的流量，扫描文件寻找攻击的证据(例如失败的修改)，为可接受的用户活动建立基线，然后调查任何看起来不寻常的情况。

4. 4.       部署防病毒和反勒索软件工具：这些工具可用于将可接受的网站列入白名单，并在检测到威胁时通知您。

5. 5.       检查电子邮件的内容：您可以配置您的电子邮件设置，以自动阻止恶意邮件进入员工的收件箱，以及阻止可能构成威胁的扩展内容，如可执行文件。

6. 
   

勒索软件和业务

       企业，无论规模大小，都是勒索软件网络罪犯最喜欢攻击的目标。许多企业依靠计算机进行日常操作、管理重要文件或进行通信。任何宕机时间都会对业务的底线产生影响。网络犯罪分子利用这一点来操纵企业主和员工花钱重新访问他们的电脑。在许多情况下，他们要么成功地勒索了大笔钱，要么严重扰乱了业务。

       2018年，SamSam被用来袭击科罗拉多州交通部和圣迭戈港。勒索软件使他们所有的服务都停止了。同样是在2018年，两名来自伊朗的黑客据称利用SamSam攻击了美国和加拿大的200多家组织和公司。一些受害者包括医院、公共机构和市政当局。这些攻击造成了大约3 000万美元的损失。

袭击后会发生什么?

       在遭受攻击后，您的业务运行可能会严重放缓。除了尝试重新启动操作，您还可能：

1. 1.       升级你的防病毒保护系统

2. 2.       培训员工如何避免未来的勒索软件攻击

3. 3.       解密你的Microsoft Office文件，这是网络罪犯最喜欢的目标

4. 4.       处理员工和管理层在工作效率下降时的沮丧情绪

5. 
   

如何应对勒索软件攻击?

       在遭受勒索软件攻击后，您可以采取一些步骤来将对业务的损害降到最低。无论情况如何，当局建议不要支付赎金。支付赎金只会鼓励更多的攻击，因为其他网络犯罪分子听说了成功的攻击。

1.检查恐吓软件

       恐吓软件通常很容易在你的电脑上发现。当你访问互联网时，它可能会弹出，取代你期望在标签页中看到的内容。有时，当你点击时，标签会自动打开，而不管你在屏幕上点击或点击的位置。

       当受感染的计算机没有连接到互联网时，也会弹出恐吓软件。它可能以消息的形式出现，告诉您您的设备已被感染，需要清理。它也可能出现在安装杀毒软件的提议中。

       恐吓软件有时可以通过在电脑厂商的客户服务代表的指导下采取步骤来清除。由于这类勒索软件非常常见，一些公司已经训练有素的专业人员准备帮助用户卸载它们。

2.咨询专家

       IT专家可能能够识别、定位并消除勒索软件。虽然不能保证他们能把它从你的电脑上删除，但一些勒索软件已经被使用了很多次。因此，已经有了解密密钥，并在IT专业人员之间流传。

       咨询专家也有它的缺点。聘请专业人士通常要花相当多的钱。此外，在你同意支付初始费用之前，也无法知道专家是否能成功地将勒索软件从你的电脑上清除。

3.删除勒索软件

       尝试以下步骤：

1. 隔离受感染的设备：很可能，只有少数设备上有勒索软件。重要的是要使这些设备脱离网络，这样它们就不能感染其他连接的设备。

2. 识别攻击类型：您采取的步骤将在很大程度上取决于您所感染的勒索软件的类型。写下关于攻击及其症状的所有细节。

3. 使用杀毒软件或雇佣专业人员为你做：这可以帮助防止进一步的攻击，它也可以披露和消除其他威胁。

4. 恢复加密文件：是否可以恢复它们以及如何恢复，将取决于攻击的性质和解密选项。

5. 删除勒索软件：将使您无法响应攻击者的要求，从而阻止您做出有害的、情绪化的决定。但是，这将不会解密被劫持的文件。

       最后你可能会丢失你设备上的解密文件或所有信息，特别是当你无法进入电脑。另一方面，使用恐吓软件和屏幕锁程序柜，你可能不会受到不良影响。例如，对于一些屏幕锁，您可以在安全模式下重新启动计算机，然后使用杀毒软件移除屏幕锁。当你重新启动计算机时，它可能会恢复正常。

阻止勒索软件攻击

       专家们一致认为，阻止是对抗勒索软件的最佳方式。你可以做几件事来保护你的设备。

1.经常更新

       更新你的设备是一种有效、免费的保护它们的方法。许多更新包括针对新型网络威胁的防病毒保护。随着设备制造商学会对抗不同类型的勒索软件，保护设备的代码会包含在更新中。

       要充分利用这一条款，你可以通过密切关注更新提醒或检查设备的设置来不断检查更新。你还可以安排自动更新——通常是在你不使用设备的时候。

2.验证软件

       验证软件可以确保你在设备上运行的任何软件都来自可信源，而不是网络罪犯。安装的某些软件不包含任何类型的自动身份验证，这可能使验证它们成为一个挑战。您可以通过电话联系软件开发人员，并验证该软件及其特定版本是真实的。您还可以描述您是如何接触到该软件的，该软件来自哪个网站或电子邮件，以及有关安装说明的任何细节，这些细节可以帮助开发人员确定该软件是否是正品。

       为了进一步保护您的计算机免受未经授权软件的攻击，有的的工具提供了双因素身份验证(2FA)的功能，使用基于云的环境来验证网络上的连接。

3.安装防病毒保护

       反病毒保护是对抗恶意软件的最强大和最直接的解决方案之一。防病毒措施是防止勒索软件到达您的设备或网络在第一道防线，防止攻击者敲诈您的钱或破坏您的操作。

       通常，勒索软件通过看似无害的电子邮件获得立足点，但电子邮件安全产品可以在攻击早期阶段与之对抗。电子邮件附件中的数据可以进行威胁分析。使用这种类型的过滤，你可以阻止违规发件人的邮件，也可以设置规则，防止这类邮件进入你的收件箱。

       下一代防火墙(NGFW)可以提供额外的保护层。支持包过滤、VPN (virtual private network)、IP映射等特性。它们还监视您的网络，密切关注威胁。NGFW供应商对安全发展情况进行持续的研究，以了解出现的新威胁，并使用这些数据以自动更新的形式阻止对您设备的攻击。

4.白名单软件

       白名单软件是一种有效的防御攻击的方法。用户在使用设备之前会例行检查设备并批准软件。像防火墙这样的保护措施可以提醒你可能含有勒索软件的软件，并在连接到互联网之前征求你的许可。通过白名单程序，如果您怀疑可能存在安全漏洞，您还可以选择阻止所有传入的程序。然后，在继续使用任何程序之前，您可以集中精力找出问题的根源。当你使用防火墙时，勒索软件很容易被发现。

5.备份你的数据

       尽管备份不能防止攻击，但它是主动防御的一个基本元素。定期备份数据可以为您提供网络上每个设备的基线映像。在发生勒索软件攻击时，您可以清除系统并使用备份重新启动和运行。

6.教育员工

       当你的员工具备正确的知识时，可以在很大程度上防止勒索软件攻击。让他们知道攻击是什么样子的，以及如何防止暴露他们的设备。

7.使用全面的安全解决方案

       针对勒索软件的最佳防御是一个全面的解决方案，旨在保护一系列设备免受攻击。这可以包括Web过滤，它在你的网络和恶意网站、链接、恶意软件或其他有风险的内容之间设置一道屏障。一个全面的解决方案还可以使用沙箱，这涉及到将应用程序的操作放在一个隔离环境中。在沙盒中，分析应用程序的行为，收集的数据可以揭示错误、效率低下、勒索软件和其他可疑代码。因为应用程序在沙盒中，所以设备或网络的其他元素受到保护。

社会工程

社会工程的定义

       社会工程是指利用人类互动和情感来操纵目标的广泛攻击。在攻击过程中，受害者被欺骗泄露敏感信息或危及安全。

       社会工程攻击通常需要多个步骤。攻击者会研究潜在受害者，收集有关他们的信息，以及如何利用他们绕过安全协议或获取信息。然后，攻击者在操纵目标泄露敏感信息或违反安全策略之前，会做一些事情来获得目标的信任。

社会工程如何运作?

       在社会工程的这个定义中，社会工程攻击始于攻击者弄清楚他们想从一个组织或个人那里得到什么。然后，他们研究人类目标的行为或好恶，找出如何最好地利用它们。然后黑客将执行攻击，试图获得访问敏感数据或安全网络或系统的权限。

人类行为被误用于实施社会工程攻击

       社会工程网络攻击试图利用人类行为的某些固有特征。

1.喜欢

       人们倾向于相信自己喜欢的人，而不是不喜欢的人。为了利用这一点，社会工程攻击者可能会试图表现得值得信任、有吸引力，或者像一个有相似兴趣的人。

2.互惠

       被给予了一些东西。社会工程攻击者滥用这一倾向，提供建议、独家新闻、或个性化的提供，让目标感到有义务回报。

3.承诺

       在某人承诺了一项行动之后，他们会觉得有义务坚持自己的决定。利用社会工程工具的攻击者可以利用这一点，先让受害者同意一些小事情，然后再要求他们做更大的事情。他们还可能在风险表现得明显之前，让他们同意采取行动。

4.社会证明

       如果一个产品得到了他们信任的人的支持，人们就更有可能认可它。攻击者可能利用社交网络利用社会证明概念，声称受害者的在线朋友已经支持了一项行动、产品或服务。

5.权威

       相比那些缺乏经验或专业知识的人，人们自然更倾向于相信权威。因此，攻击者可能会试图使用“根据专家”或“科学证明”等短语来说服目标同意某事。

社会工程历史

       尽管有这么多现代社会工程的例子存在，但这种做法实际上有很长的历史，可以追溯到18世纪。

1.法国贵族

       法国大革命后，在法国的囚犯们谎称自己是法国贵族的仆人，寄出信件，声称他们已经隐藏了主人的大量财宝，并将提供一张地图，帮助收件人找到宝藏。作为对这些“无价”信息的回报，他们会要求一定的报酬，并希望得到一点优待。

       虽然计算机是在几个世纪后才被发明出来的，但这种骗局当然符合普遍的社会工程定义。

2.欧洲贵族

       这些早期的社会工程攻击骗局以监狱为基础，涉及一个在西班牙被监禁的人。

       被定罪的人会写一封信，声称自己是一个被错判的欧洲贵族。这些铁栏不仅使他无法获得自由，也使他无法接触到他贫穷的女儿，而女儿需要他的自由才能生存。这封信会要求收信人支付足够的钱以确保囚犯获释，同时承诺一旦囚犯见到天日，就会支付一笔可观的报酬，远远超过收信人提供的报酬。

3.尼日利亚王子

       什么是今天的社会工程?

       随着时间的推移，技术和文字发生了变化，但心理上的操纵却没有改变——就像在尼日利亚王子骗局中看到的那样。

       这种骗局的社会工程工具包只需要一个电子邮件帐户和一些伪造的文件。有人假装自己是尼日利亚王子，声称有钱被锁起来了，没有帮助他们就拿不出来。如果收信人给了他们贿赂官员所需的现金，或者支付了使用这些资金所需的费用，“王子”就会与收信人分享战利品。当然，根本就没有钱，目标绑定的的任何东西都不会被返回。

社会工程攻击技术

1.引诱

       诱骗性攻击试图通过承诺某些东西来吸引受害者的好奇心或贪婪感。这诱使目标安装或点击一些东西，最终将恶意软件，如域欺骗软件（pharming）或间谍软件，安装到他们的系统中。

2.恐吓软件

       恐吓软件用假威胁或假警报轰炸目标，希望他们保护自己的自然倾向或他们珍视的东西驱使他们采取想要的行动。其中比较常见的一种是使用逼真的横幅警告他们的电脑可能感染了病毒或其他类型的恶意软件。

3.借口

       在使用借口的攻击中，攻击者对受害者的身份撒谎。在获得目标的信任后，他们诱骗他们交出敏感信息。

4.网络钓鱼

       在网络钓鱼攻击中，攻击者会制造一种紧迫感，或引起受害者的好奇心。然后，他们要么让用户点击恶意链接，要么通过表单提供私人信息。

5.鱼叉式网络钓鱼

       在鱼叉式网络钓鱼攻击中，受害者是特定的目标，攻击者通常会提前进行广泛的研究。一旦攻击者知道如何操纵受害者，他们就会发起攻击，通过网络钓鱼获取信息、凭证或敏感数据。

6.水坑

       通过水坑攻击，攻击者试图通过入侵他们信任的网站来破坏目标群体。攻击者可能会关注人们经常访问的网站，因为他们知道他们在这些页面上可能会感到安全。

7.交换条件（Quid Pro Quo）

       在交换条件攻击中，攻击者假装向受害者提供某种东西，以换取信息或特定的行动。例如，攻击者可能假装是技术支持人员，然后说服目标输入命令或下载软件，将恶意软件安装到他们的系统中。

8.甜蜜诱饵

       这种攻击，社会工程人员假设一个有吸引力的人的身份。然后，他们在网上与受害者建立关系，试图从受害者那里获取敏感信息。

9.尾随

       尾随攻击者是指袭击者跟随有安全许可的人进入建筑物。保安要么信任前者，要么出于礼貌，为他们把门打开。

10.流氓

       在流氓攻击中，受害者会被骗花钱从他们的系统中删除恶意软件。恶意软件并没有从系统中移除，但受害者最终还是要向攻击者付费。

11.电话钓鱼

       通过电话对话从目标那里获取财务或个人信息。他们经常使用欺骗来隐藏自己的身份，改变了他们的来电显示。与其他社会工程策略一样，攻击者试图获得个人的信任，或利用恐惧让他们泄露有价值的信息。

著名的社会工程攻击例子

       Frank Abagnale可能是社会工程攻击最著名的例子。这本书和电影《逍遥法外》描述了阿巴格纳尔如何假扮好几个人，包括医生、律师和飞行员，以获得人们的信任并利用他们。

       2011年，一名攻击者通过向一群员工发送钓鱼电子邮件，侵入了安全公司RSA。这些电子邮件附有一张Excel电子表格。该电子表格中嵌入了恶意代码，它利用Adobe Flash中的一个漏洞在系统中安装了后门。如果这些员工没有被社会工程打开文件，攻击就不会成功。

       网络钓鱼在疫情期间也很常见，所以用户应该时刻保持警惕。

如何识别社会工程攻击

       要发现社会工程攻击，请注意以下迹象：

1. 以恐惧、好奇、兴奋、愤怒、悲伤或内疚为借口的情感恳求

2. 要求的紧迫感

3. 试图与收信人建立信任

       简而言之，只要有人试图通过操纵或胁迫的方式让你提供金钱或敏感信息，你就成为了社会工程攻击的目标。

防止社会工程攻击的提示

1.安全沟通和帐户管理习惯

       在网上交流时一定要小心，永远不要相信你无法确认身份的人。最重要的是，永远不要点击任何看起来可疑的东西，永远不要泄露敏感信息。

2.永远不要点击电子邮件或消息中的链接

       不要单击URL，而是在地址栏中手动键入它。在点击所有URL之前，仔细检查它们的来源，如果不能验证它们的合法性，就避免使用它们。

3.多因素身份验证(MFA)

       使用多种密码方式访问一个账户可以帮助防止社交工程师破坏系统。这可能包括生物识别技术或通过短信发送的临时密码。

4.使用强密码和密码管理器

       你的密码应该既复杂又独特，不要重复使用其他网站或账户的密码。您可以使用安全的密码管理器来组织它们，并在需要时提供它们。

5.建立只在网上沟通的友谊要谨慎

       不涉及面对面交流和电话交谈的人际关系很容易被用于社交工程。小心那些只想在网上交流的人。

安全网络的使用习惯

1.不要让陌生人连接到你的主Wi-Fi网络

       允许别人访问你的主Wi-Fi网络会让它容易被窃听。为了防止这种情况发生，为那些到你办公室或家里拜访的人建立一个访客网络。

2.使用VPN

       虚拟专用网络(VPN)为您提供了一个安全、加密的通信通道。即使有人窥探你的通信，VPN也会加密传输，使它们对攻击者毫无用处。

3.确保所有网络连接设备和服务的安全

       虽然你在办公室和周围的Wi-Fi连接很可能是安全的，就像你的移动设备一样，但重要的是不要忽视其他设备，比如你车里的信息娱乐系统。进入这些系统可以帮助社会工程人员进一步定制他们的攻击。

安全设备使用习惯

1.使用全面的互联网安全软件

       互联网安全软件可以保护你的系统不被恶意软件通过社会工程攻击植入。一些安全解决方案还可以跟踪攻击的来源，这可以报告给当局，以帮助他们调查犯罪。

2.不要在公共场合把你的电子设备放在不安全的地方

       你的电脑和移动设备应该始终锁好或安全地随身携带。无论你是在公共场所还是像你的工作一样的半公共环境中，这都是正确的。

3.保持所有软件更新

       软件更新有助于确保您的应用程序不受环境中最新类型攻击的影响。在攻击成功后，软件的设计团队可能会在更新中解决漏洞，因此频繁的更新可以为您提供最新的安全。

4.检查你的网上帐户是否有已知的数据泄露

       一些公司会追踪被黑客入侵的账户。如果你的账户信息在他们的列表中，采取措施通过更改密码或添加MFA来保护它。

社交媒体

       社交媒体为组织或个人推广和扩大品牌提供了大量的机会。作为一种利用互联网的强大交流形式，社交媒体可以为任何组织提供强大的全球影响力。由于这些平台在全球拥有数十亿用户，许多组织将社交媒体视为一种至关重要的工具，可以同时接触到大量潜在的前景、客户、合作伙伴、员工和拥护者。

       最终，社交媒体平台使组织的代表和追随者能够进行包括分享信息、交换反馈和创建内容在内的互动。

如何防范社交媒体平台的威胁

       社交媒体可以提高品牌知名度和公众参与度。它以一种非传统的方式实现了一种低成本的广告形式。社交媒体有很多种，从博客到照片分享网站，再到即时消息或视频分享门户等等。

       也就是说，就像几乎所有的新技术一样，社交媒体也有其自身的挑战。对于那些使用社交媒体的人来说，一个缺点是它会将用户置于危险之中，因为它会打开传统网络安全下不安全的通道。

社交媒体如何影响安全?

       有五种与社交媒体相关的网络威胁需要注意和保护。它们包括：

1.社会工程

       社会工程是指利用人类互动和情感来操纵目标的一系列攻击。这种攻击试图欺骗受害者泄露敏感信息，或损害公司安全。

       社会工程攻击通常包括多个步骤。攻击者将研究潜在目标，收集有关他们的信息，然后使用这些新获得的数据绕过安全协议。接着攻击者努力获得目标的信任，最后操纵他们泄露敏感信息或违反安全策略。

       显然，由于社交媒体的随意性质，它为社会工程师提供了一种自然地与潜在目标或组织接触的途径，向他们提供可以用来帮助发动攻击的信息。

2.网络钓鱼

       在网络钓鱼攻击中，通常是通过电子邮件或在线信息，网络罪犯通过引诱潜在目标点击恶意链接或打开恶意附件来诱骗他们。如果攻击者利用社交媒体与目标建立融洽的关系，就更容易建立必要的信任，从而让他们点击恶意链接或在在线表单中输入敏感的私人信息。

       网络罪犯还通过制造紧迫感或吸引他们的好奇心，对潜在受害者施加压力。“现在就行动，否则就太晚了……”是攻击者用来鼓励目标的典型例子，让他们要么点击恶意链接，要么通过表单提供私人信息。

3.恶意软件

       社交媒体上推广的恶意链接会导致恶意软件。恶意软件是恶意和软件两个单词的合成词。恶意软件有许多不同类型，如病毒、木马、间谍软件和勒索软件。网络犯罪分子使用恶意软件访问设备和网络，窃取数据，控制系统，创建僵尸网络，虚拟货币挖矿，或破坏系统。

4.假冒品牌

       社交媒体带来的另一个风险是，当个人或团体试图冒充一个受人尊敬的公司或品牌，诱骗受害者(员工或个人)提供机密和有价值的信息，这些信息可以被社交工程师用来入侵系统和网络。品牌模仿除了会伤害被这种模仿策略所欺骗的受害者之外，还会损害被假冒组织的声誉。

5.身份欺骗（catfishing）

       当一个人从另一个人那里获取信息和图片，创建一个假身份，然后用这个假身份在社交媒体平台上伤害一个人，这被称为catfishing。钓鱼者通常使用假身份诱骗目标个人与他们联系或在网上做生意，目的是从受害者那里偷窃或羞辱他们，或两者兼有。

社交媒体安全七个最佳实践

       应对社交媒体威胁的最佳实践包括以下七个策略：

1. 启用MFA。多因素身份验证是一种安全措施，通过要求用户提供两个或两个以上的身份验证因素来访问应用程序、帐户或VPN (virtual private network)，从而保护个人和组织。这增加了额外的安全层，以对抗更复杂的网络攻击，即使凭证或身份已被第三方窃取、暴露或出售。

2. 不要重复使用密码。为每个帐户使用不同的密码。这可以防止在一个账户被黑的情况下，其他账户被轻易访问。使用密码管理工具记录各种密码，并确保密码不容易被猜中。

3. 定期更新跨平台的安全设置。保持对社交媒体平台安全选项的关注，确保它们总是最新的，并设置在最严格的级别。

4. 减少联系以降低未知威胁。警惕你在社交媒体平台上联系的个人和实体的类型。仔细审视每一个联系，不要和那些看起来不真诚或可疑的联系在一起。

5. 监控社交媒体的安全风险。关注特定社交媒体平台上的威胁新闻，并做出相应回应。如果你了解到漏洞或黑客事件，关注你的账户并解决可能导致入侵或黑客的问题。

6. 了解什么是网络钓鱼攻击。要努力学习最新类型的网络钓鱼攻击，当有人通过社交媒体平台或电子邮件主动联系你时，要始终保持怀疑态度。

7. 小心你的账户被骗。留意假冒品牌的行为，立即向社交媒体平台管理员报告违规行为，并通知你的关注者。

（完）

原文始发于微信公众号（安全行者老霍）：用户网络安全意识培训应该涵盖的12个领域（上）