在典型的网络钓鱼攻击中，诈骗者向数以千计的人发送虚假电子邮件，询问敏感信息（例如银行详细信息），或包含指向有害网站的链接。试图诱骗汇款、窃取详细信息以进行出售，或者他们可能出于政治或意识形态的动机来访问企业的信息。钓鱼攻击基本上属于社会工程学攻击范畴。

1：配置账户减少攻击影响

可以使用“最低特权”原则配置员工账户，为员工提供执行其工作所需的最低级别的用户权限，即使他们成为网络钓鱼攻击的受害者，也可以减少潜在的损害。为了进一步减少恶意软件攻击或登录凭证丢失，确保员工不浏览具有管理员权限的网络或电子邮件。一个管理员 account是一个用户帐户，允许对其他账户进行更改，管理员可以更改安全设置，安装软件和硬件以及访问计算机上的所有文件。因此，具有未经授权访问管理员帐户权限的攻击者比攻击标准用户账户的危害要大得多，建议对重要账户采用双因素认证（2FA）。

2：思考企业操作

• 工作人员是否知道如何处理异常请求以及向谁求助？

• 打开邮件前，确认是否为冒充重要人物（客户或经理）的电子邮件，如何验证其身份？

• 了解常规业务关系吗？诈骗者通常会从其他大型组织（例如银行、政府机构等）发送网络钓鱼电子邮件，以希望某些电子邮件收件人能够与该公司建立联系。如果收到与您没有业务往来的组织的电子邮件，不应打开电子邮件！

• 考虑如何鼓励和支持辨别信息来源的可靠性，如员工质疑似乎来自重要人物的可疑请求，该如何做？ 保持安全抑或付出高昂代价？

3：检查网上钓鱼明显迹象

• 有些网络钓鱼诈骗来自国外，并且拼写、语法和标点符号通常很不规范。攻击者通常通过添加徽标和图形来创建具有官方外观的电子邮件。

• 有些邮件以“有价值的客户”、“朋友”或“同事”名义发送邮件，正表明发件人实际上并不了解你，极可能是网络钓鱼诈骗。

• 电子邮件中是否包含要求紧急采取行动的威胁暗示？如“ 24小时内如何如何”或“你已成为犯罪受害者，请立即单击此处”之类的词汇，都值得怀疑。

• 注意！来自组织中的高级人员电子邮件，要求付款到特定的银行帐户。仔细查看发件人的姓名，是否在模仿你的领导，通过其他方式核实有关信息？

• 如果听起来好得难以置信，要知道天下没有免费的午餐，天上没有掉馅饼的好事。说什么点击互联网连接领取多少钱等等，可以认为是钓鱼攻击。

4：积极报告所有攻击

如果员工认为自己可能是网络钓鱼的受害者，怀疑已发生成功的钓鱼攻击，则必须采取措施进行恶意软件扫描并尽快更改密码。

员工总担心如果发现自己被攻击会遭到企业的惩罚，这会使员工恐惧而不敢积极报告，他们也会花费大量的时间和精力仔细检查收到的每一封电子邮件。应该建立尽职无责或尽职少责的工作氛围，如果发现存在钓鱼攻击，应及时上报，个人上报单位，单位上报有关部门，这样才能形成全单位、全社会共同应对网络风险，构建网络空间安全的良好氛围。

5：检查数字足迹

• 要充分了解网站和社交媒体页面共享的信息对企业的影响。网站的访问者需要了解什么，什么细节是不必要的，但对攻击者可能有用？

• 注意合作伙伴、承包商和供应商在网上有关自己企业的信息。

• 帮助员工了解他们共享的个人信息如何影响他们和企业。

• 用户专有网络信息的数字足迹运动包含一系列有用的材料，以帮助企业与员工合作以最大程度地降低在线安全风险。

原文始发于微信公众号（河南等级保护测评）：​小型企业网络安全指南之五：防钓鱼邮件攻击