网站客服人员应加强安全意识防网络钓鱼

不少网站都有提供在线的“联系我们”功能,包括即时通讯或在线表单,以方便来访者不需通过邮件系统而直接在线提交问题或需求,当然多数也会留有邮件地址以便有客户喜欢通过邮件联系方式。

即时通讯功能有的调取客户端通讯程序协议如QQ,MSN或Skype等,有的使用在线的Web第三方挂件;在线表单提交的结果往往会发送邮件给指定的邮箱或在后台系统中进行记录。

不管何种方式,当在线客服员工获得这些信息时,不论是问题还是需求都会让他们处于兴奋状态,进而放松安全警惕。而狡猾的攻击者则会充分利用这一点,通过伪造邮件和链接等方式对这些员工进行网络钓鱼攻击。

防止在线表单诈骗攻击

具体的方法则如上图所示,攻击者事先伪造一个假冒的网址:http://www.securemymind.com.hackme.hk/about-securemymind.html,然后通过即时通讯发送给客户员工,或通过网站提交留言,更狡猾的网络犯罪分子还会假借目标网站的系统邮箱,收到诈骗链接的客服人员一看地址:http://www.securemymind.com/about-securemymind.html,确实是自己的网址链接,sales@securemymind.com,还是自己人呢!于是便去点击,确实打不开啊,便找相关网站技术人员帮忙检查,其实在“打不开”的时候便不知不觉中了黑客的招儿。

如何能有效防范这些社交骗术、诈骗伎俩或称钓鱼攻击呢?当然首先得保障客户端安全软件的更新,但即使最新的防病毒软件也难查杀到网络犯罪分子特制的恶意程序。所以最重要的是教育员工提高安全警惕,并分享一些攻击信息的样本,还有时不时发动模拟攻击演习,检测一下员工们的安全防范意识,同时也要教育员工如果不慎点击这些钓鱼链接之后该如何进行紧急响应,比如断开网络连接、报告安全服务中心寻求帮助等等。

安全意识渗透测试

人们薄弱的安全意识是组织信息安全保护中最大的风险之源。因为人是安全控管技术的使用者、是安全策略、标准和流程的实施者和实践者,人们的安全意识水平决定整体安全保护的级别。

如同您需要定期对信息系统和基础架构进行渗透攻击测试一样,您的人员的信息安全防范意识如何?信息安全敏感度如何?安全认知及行为如何?能否经得住高级可持续性威胁APT的攻击探测?

昆明亭长朗然科技有限公司建立了一套模拟的信息安全意识渗透攻击体系,包括常见的社交工程诈骗、网络钓鱼、邮件钓鱼、电话诈骗、短信诈骗、社交网络钓鱼、电话钓鱼、办公室入侵、物理环境窃密、无线网络热点诈骗等等。

模拟攻击的好处在于攻击不会造成实质性的信息安全事故如数据泄露等等,同时还能起到很好的教育作用。不仅安全管理团队能够从模拟渗透攻击中得知信息安全防护体系的薄弱之处,“受害”最终用户也能从模拟演练中获得宝贵的经验教训,进而从容应对随后来临的真实安全威胁。

我们引进了国外先进的社交工程学攻击评估系统,并根据中国的实际环境进行了本地化的改进和创新工作。此外,为了更能符合客户的实际安全情景,我们特意开发制作了社交工程攻击安全意识培训课程以及在线的邮件诈骗、短信诈骗测试服务。

欢迎和我们联系洽谈更多模拟社会工程学攻击的渗透服务。

昆明亭长朗然科技有限公司

电话:0871-67122372

手机:18206751343

微信:18206751343

邮箱:info@securemymind.com

QQ:1767022898