网站客服人员应加强安全意识防网络钓鱼

不少网站都有提供在线的“联系我们”功能,包括即时通讯或在线表单,以方便来访者不需通过邮件系统而直接在线提交问题或需求,当然多数也会留有邮件地址以便有客户喜欢通过邮件联系方式。

即时通讯功能有的调取客户端通讯程序协议如QQ,MSN或Skype等,有的使用在线的Web第三方挂件;在线表单提交的结果往往会发送邮件给指定的邮箱或在后台系统中进行记录。

不管何种方式,当在线客服员工获得这些信息时,不论是问题还是需求都会让他们处于兴奋状态,进而放松安全警惕。而狡猾的攻击者则会充分利用这一点,通过伪造邮件和链接等方式对这些员工进行网络钓鱼攻击。

防止在线表单诈骗攻击

具体的方法则如上图所示,攻击者事先伪造一个假冒的网址:http://www.securemymind.com.hackme.hk/about-securemymind.html,然后通过即时通讯发送给客户员工,或通过网站提交留言,更狡猾的网络犯罪分子还会假借目标网站的系统邮箱,收到诈骗链接的客服人员一看地址:http://www.securemymind.com/about-securemymind.html,确实是自己的网址链接,[email protected],还是自己人呢!于是便去点击,确实打不开啊,便找相关网站技术人员帮忙检查,其实在“打不开”的时候便不知不觉中了黑客的招儿。

如何能有效防范这些社交骗术、诈骗伎俩或称钓鱼攻击呢?当然首先得保障客户端安全软件的更新,但即使最新的防病毒软件也难查杀到网络犯罪分子特制的恶意程序。所以最重要的是教育员工提高安全警惕,并分享一些攻击信息的样本,还有时不时发动模拟攻击演习,检测一下员工们的安全防范意识,同时也要教育员工如果不慎点击这些钓鱼链接之后该如何进行紧急响应,比如断开网络连接、报告安全服务中心寻求帮助等等。

信息安全成了各大公司进行全员培训的热点课程

昆明亭长朗然科技有限公司赞助进行的最新一项企业大学的调查表明:信息安全培训成为各企业大学向全体员工提供的热点课程之一。

“信息安全基础培训”课程成为了IT领域最热门的课程并不意外,这表明各类型的组织越来越信赖信息系统和信息数据,这些信息系统和数据的破坏或丢失都会对组织的正常业务运作造成严重影响,表明信息安全越来越受到重视。

同时,这项调查也发现,不少受访者表明,组织越来越认识到信息安全保护不仅是IT部门的职责,所有的员工都应该保护他(她)所能接触到的各类信息资源,所有的经理们都应该对其部门的各类信息资产的安全负责。而且,除了IT部门之外,质量管理部,人力资源部,安全部、职业健康及生产安全等等部门也都积极参与信息安全工作。

亭长朗然公司的培训专员Alice Wong简单解释了这一现象:“信息时代,信息是各类组织成功的血脉,确实很有必要对这些信息进行恰当的保护,特别是在今天迅速变化的商业环境之下,数据量飞速增长,在针对员工的安全培训上进行适当的投入是积极主动防御各类安全威胁的重要措施,不管组织的规模大小及所属行业,都会有信息安全的需求,而长期以来,各类组织过于信赖技术手段来进行信息安全控管,这在新的云计算、移动应用等新的环境下面临巨大的挑战,同时各类组织也意识到在员工的安全防范意识和安全操作技能上进行适当的培训,可以让员工们认识到信息安全对组织成功的重要性,并配合各类安全控管工作,进而用较小的花费获得最大的安全收益。”

此外,这项针对企业员工安全培训人员的调查也表明,量化培训效果是一件比较困难的事情,的确,向员工提供了安全培训之后,即使能或多或少看到员工的安全行为有所改善,但是也不好对这些进行必然性的关联,对此,Alice Wong说:“安全教育培训应该有它的目标,对培训效果进行量化式的衡量,看有没有达到保护组织信息安全的终极目标并不容易,毕竟其它的安全控制措施可能也会提升组织的信息安全水平,不过仍然可以参考信息安全的成熟度衡量模型,通过抽样评估了解培训前后员工对安全基础认知的差异,由员工的信息安全意识不足造成的安全事件所占安全事件总数的比率等等指标来进行衡量。”

据悉,亭长朗然公司推出的系列“信息安全基础培训”课程都有配合适当的测试题,以便安全培训负责人员及时了解员工对信息安全知识的学习和掌握情况,并且帮助信息安全培训负责人员衡量培训的成效。