网站客服人员应加强安全意识防网络钓鱼

不少网站都有提供在线的“联系我们”功能,包括即时通讯或在线表单,以方便来访者不需通过邮件系统而直接在线提交问题或需求,当然多数也会留有邮件地址以便有客户喜欢通过邮件联系方式。

即时通讯功能有的调取客户端通讯程序协议如QQ,MSN或Skype等,有的使用在线的Web第三方挂件;在线表单提交的结果往往会发送邮件给指定的邮箱或在后台系统中进行记录。

不管何种方式,当在线客服员工获得这些信息时,不论是问题还是需求都会让他们处于兴奋状态,进而放松安全警惕。而狡猾的攻击者则会充分利用这一点,通过伪造邮件和链接等方式对这些员工进行网络钓鱼攻击。

防止在线表单诈骗攻击

具体的方法则如上图所示,攻击者事先伪造一个假冒的网址:http://www.securemymind.com.hackme.hk/about-securemymind.html,然后通过即时通讯发送给客户员工,或通过网站提交留言,更狡猾的网络犯罪份子还会假借目标网站的系统邮箱,收到诈骗链接的客服人员一看地址:http://www.securemymind.com/about-securemymind.html,确实是自己的网址链接,sales@securemymind.com,还是自己人呢!于是便去点击,确实打不开啊,便找相关网站技术人员帮忙检查,其实在“打不开”的时候便不知不觉中了黑客的招儿。

如何能有效防范这些社交骗术、诈骗伎俩或称钓鱼攻击呢?当然首先得保障客户端安全软件的更新,但即使最新的防病毒软件也难查杀到网络犯罪份子特制的恶意程序。所以最重要的是教育员工提高安全警惕,并分享一些攻击信息的样本,还有时不时发动模拟攻击演习,检测一下员工们的安全防范意识,同时也要教育员工如果不慎点击这些钓鱼链接之后该如何进行紧急响应,比如断开网络连接、报告安全服务中心寻求帮助等等。

网络犯罪日益猖獗,信息安全专家必须改变安全战略

商业流程越来越信赖信息流程,组织面对的各类安全威胁已经不是简单交给信息安全部门就可获得圆满解决的了,相反,组织应该采取更加具有前瞻性战略眼光、基于业务持续性计划的综合风险管理方案。

外部安全威胁如来自互联网的威胁仍然会呈几何级数增长,让安全防范如临大敌,更严重的是它们一旦合体,则破坏力更是无比,高级可持续性威胁APT即是如此,有组织的、有目标的、坚定的网络犯罪份子是目前公认最难防范的安全威胁。商业间谍更是在市场竞争日益激烈的时代练就了一身的本领,他们受雇于竞争对手,用尽各种手段,企图获取各组织的机密数据,进而摧毁其核心竞争力。

未来几年,全球范围内的新一波信息化浪潮会进一步席卷各类组织,网络犯罪也会持续水涨船高。而国家之间的互联网军备竞赛无疑将导致一场新的互联网冷战,互联网大规模杀伤性武器和防御体系会相继问世,不要以为这些不会影响到民用和商用领域,就如同战争来时,炮弹不长眼,平民也无法幸免一样。

来自内部的安全威胁更是让各类组织不容忽视,各类组织迫于成本、效率和竞争力的压力,不得不销减各类开支和采用创新方案,虚拟化、云计算、外包服务、移动办公、BYOD等等带来成本降低效率提高的同时也带来了众多新的安全漏洞,让组织内部的安全弱点暴露给外部攻击者,更不用提不满的内部员工和安全意识淡漠的员工。

商业供应链也是难定内外的一大安全威胁来源,现代组织的信息数据分散存放及传播于多家合作或关联组织,每个环节都有可能令数据暴露,引起的安全事故给组织及供应商带来不利影响,但是再大的影响也抵挡不住供应链数字化、更多职能外包的趋势。

要积极应对这些外患内忧,非个人英雄主义者可以解决,安全专家需要帮助高层管理团队了解信息安全的价值,组织应当积极采取信息安全治理框架,并紧密结合组织的商业风险管理体系,要分配必要的安全资源,以确保持续的安全投入能满足到业务的需求。

在获得了高管阶层的认同和支持之后,安全专家要将这些新的安全战略落实,最重要的步骤仍然是沟通,即通过实施信息安全意识教育计划,让所有员工了解到组织所面临的内外部安全威胁,防范这些威胁的通用安全措施,自己在日常工作中所担负的安全职责等等,进而发起群防群治运动,筑建立体的多层安全防线。