在经历过十来年的电信诈骗犯罪上升之后，近几年网络诈骗总体呈下降趋势。但是，我们不能大意，“广撒网”式的诈骗少了，“精准”诈骗多了。对此，昆明亭长朗然科技有限公司网络安全研究员董志军表示：换句话说，传统的网络钓鱼攻击变少了，但是更有针对性的攻击——鱼叉式网络钓鱼，却变多了。这是因为时代在变，“道高一尺，魔高一丈。”多部门花费了大量人力与物力开展诈骗预警、诈骗犯罪分子打击等多项反诈工作，不法分子只能频频亮出“新招”，才能继续“生存和发展”。

最近，笔者在一天内亲历了三个诈骗电话，号码都是00开头，依据常识，均来自海外，而且在接听电话时，也立即收到运营商发来的“温馨提醒”，笔者并没什么海外关系，所以一看到这种号码，便有了防备之心。可蹊跷的是，第三个电话008701开头，很接近本地的固话号码0871，我一开始并未能一眼辨出，还以为是本地来电呢！对于诈骗的警惕之心立即降下来了。

骗子是如何尝试开始攻击的呢？我遭遇的是“快递丢失”类骗局！骗子无疑是想要我更多的信息和操作，以便“给予赔偿”。我相信很多人一听到自己的“快递丢失”，就会立即“阵脚大乱”，想着自己已经付出的银子，得及时给收回。这正中了骗子的下怀，在骗子的一顿蒙骗之下，不知不觉便上了钩。没错！骗子得到了我购物的快递单上的“详细”信息，所以清楚地道出了我的电话、姓名、收件地址、以及货物，我查询平台一看，货物正在运输途中，几点都是非常吻合的！这里假如我相信来电者（骗子）所自称的“快递公司”身份，似乎也是在情理之中。

可是，有经验的人们只要稍一琢磨，就会发现问题，那就是快递公司为啥要赔钱给我这个收件者呢，要赔也是赔给发件者，是吧？而且即使是货物丢失，也可以再重新发货，或者退款。即使是退款，常规来讲，也应通过电商平台的付款渠道进行，也就是从哪儿来的钱从哪儿回的呀！是吧？想到这儿，我就明白了，原来新型诈骗的防范之道，最根本的，并不是什么这个行动，那个提醒，而是你得要了解起码的业务流程，要懂点专业知识。你如果“太菜”，不懂基本的原理、制度和流程，那就很容易被“忽悠”进入那些固定的脚本化诈骗场景之中。

对于大众来讲，随着移动互联网产业的兴起，新型网络诈骗亦层出不穷。诈骗者利用社交平台、购物平台、短视频平台等渠道与受害人进行接触，而不再仅仅使用传统的电话、短信渠道，这令人防不胜防。尽管有《网络安全法》、《个人信息保护法》、“实名制”、“国家反诈中心APP”、“净网行动”、“断卡行动”、“预警监测”等等“精准合力”的措施，却仍有不少受害者。究其原因，是这些受害者受教育不够，我不是在知识或学历方面的歧视，大学教授和博士们被骗的也不少，我是说这些受害者缺乏商业常识、批判性思维和独立思考。

对于职场人员来讲，鱼叉式网络钓鱼是一种发送看似来自已知或可信发件人的电子邮件的做法，以诱使目标人员泄露机密信息或者发起转账操作。鱼叉式网络钓鱼邮件中的信息看起来像是真的，并且请求似乎合情合理。该消息似乎来自组织内部有权要求提供机密信息或敏感操作的人员，可能是单位老总、人事专员、系统管理员、其他部门的经理等。发起鱼叉式网络钓鱼攻击的网络犯罪分子使用可公开访问的信息研究组织及其员工。他们可能会使用公共网站、新闻报道、电商门店、公众号和其他来源的员工名录，甚至直接收买内部员工以及供应商、服务商人员。

防范钓鱼邮件，特别是鱼叉式网络钓鱼，当下，企业级邮件系统多数使用了外部邮件警告功能，要求员工们注意确认外部邮箱，这让模仿邮件域名的假冒者无法遁形。然而，员工们总会麻木大意的，而且电子邮件若行不通，自然还有其他沟通渠道。比如那些QQ群、微信群、高仿的视频或语音等，如果像财务出纳这种关键的岗位人员，从声音甚至视频通话中，听从了“领导”的指示，而没有遵守常规流程，转出了巨款，那么，升级“人工智能”技术防范措施，永远没有教导职员们了解商业常识、提升防诈意识、严守工作规则来的好，因为这样成本低且效益高。

鱼叉式网络钓鱼攻击者通常要求用户名和密码，或要求受害者单击一个链接，该链接会在他们的计算机上秘密安装驱动下载。如果一名员工上钩，鱼叉式网络钓鱼者可以冒充该受害者，然后瞄准组织中其他更高级别的个人。最终，鱼叉式网络钓鱼者可能会获得管理密码、银行账户信息、对知识产权的访问权、其他有价值的内部甚至机密数据，或者成功地让特定组织内部的某个人运行恶意软件程序。

当发现不合常规的情况时，保持怀疑，是获得成功“免骗”的关键要素。当骗子在通话中，发现我对该情况表现出怀疑之时，表示“难以与我沟通”。在我快要揭露出其真面目时，提出按常规流程操作时，其表示“将再重新要求商家发货”并结束了电话。第二天，快递货物到达，当然该货物并非是“重新发送的”。

那么，新的问题又来了，谁泄露了快递信息呢？商家或快递公司的内鬼（兼职赚外快）、甚至商家或快递公司的系统泄露（遭遇了黑客入侵）？这些可能性都不排除，这个真正的源头，似乎根本不惧怕《网络安全法》、《个人信息保护法》中的相关条款。然而，对此，作为“受害者”的我，也没有什么办法和动力，去追究或举报。想到也正是由于我的这种无奈和隐忍，让诈骗犯罪仍然逍遥法外，让个人信息买卖或数据盗窃行为继续滋生蔓延。举报非法犯罪，是公民义不容辞的职责。作为网络专员的我，“懂法而没好好用法”，似乎有些羞愧，然而，更多的是不想惹“麻烦”，不想麻烦自己，以及有司。相信有过报警经历，“坏人”早已跑掉，自己却被警察当成“坏人”般反复盘问的公民们，应该了解我的这般心态。

话说回来，法律仍然是保障公民权益的武器，网民仍然需要自觉守法、遇事找法、解决问题靠法，学会用法律来维护自己的合法权益。学习反诈知识、安装反诈应用、用好反诈资源，武装好自己的头脑，防止受骗是关键。万一上当受骗了，千万不要犹豫，立即报警。当然，企业级的单位，更应加强职工们的网络安全、数据保护、合规守法及防诈骗意识。

昆明亭长朗然科技有限公司积极顺应时代变化，专注于帮助各类型组织机构解决“人员”方面的安全风险，我们创作了大量的教程资源内容，包括安全、保密、合规等主题在内的动画视频、电子图片和电子课件，同时，我们拥有基于云计算的弹性学习管理系统，可以帮助各类型机构快速发起针对全员的安全意识在线学习计划，进而修复安全防范体系中“人为因素的弱点”。欢迎有兴趣的朋友联系我们，预览课程内容和洽谈采购事宜。

• 电话：0871-67122372
• 手机、微信：18206751343
• 邮件：info＠securemymind.com

勒索软件、网络犯罪、人工智能黑客、高仿换脸变声……这些话让所有计算设备的用户心生恐惧，但是许多小企业却并未实施足够的网络安全方法，以便来保护企业数据免受网络攻击。对此，昆明亭长朗然科技有限公司网络安全专业人员董志军表示：很多中小企业的老板和经理们是业务专家，然而并不是IT专家，即使知道一些IT的重要性，也局限于业务流程方面，对于网络安全几乎是没有任何经验和方法，而竞争激烈的大多数中小企业显然又没法吸引网络安全专业人员加盟的兴趣，就是现有的IT管理员往往也是力量薄弱，和财大气粗的大型企业和政府机关相比，也没几个预算来搞网络安全工程项目。

所以，作为良心的网络安全企业，有必要考虑到中小企业的困难，为其提供技术和管理方面的帮助，特别是实施网络安全计划的最佳实践。我们并不是指搞一些免费的杀毒软件，这些业内已经有一些“羊毛出在猪身上”的做法，尽管多数网络安全专家对此嗤之以鼻，但是谁也没法打破这些僵局。

网络安全与黑客方面的头条大新闻不断刷新历史，黑客攻击致使超过数亿人的个人数据遭受泄露，并通过难以监管的P2P、暗网等渠道传播。有些行业面临着独特的挑战，一些欺诈者炮制很多场景，入侵对方的电子邮件、窃取邮箱、假借身份要求支付款项到另一账号，给很多贸易型企业造成了数百万甚至数千万的损失。对此，专家称：随着技术不断渗透到我们的生活，从联网汽车到交易中的区块链技术，再到云计算的增长，技术将为企业带来新的风险。

企业不仅需要跟上新技术，还需要应对每一项新技术发展带来的风险。与保护计算机防止病毒等恶意程序破坏，需要强化防病毒技术相比，新时代网络安全更多需要的是管理，实施安全程序的关键一步是创建数据安全程序、更新安全政策。国家出台了不少法令，对未能保护消费者个人信息数据的企业采取执法行动。对此，董志军补充说：为了帮助企业保持国家安全及消费者的个人数据安全，国家出台了《网络安全法》、《数据安全法》和《个人信息保护法》，并且细化了很多可执行的数据保护实践指南。

即使算不上国家的领导干部，中小企业的管理者们也是时间金贵，让我们简要说一说如何能够快速达到合规。先说一个问题，有人可能会说，国家的数据安全保护相关法律还看不到中小企业，或者说执法时会有选择性的差异，也会考虑实际，不会重点关注非关键信息基础设施领域，这是有道理，但是不要大意，消费者隐私意识觉醒，中小企业本身就不容易，再面临客户丢失甚至受到诉讼的风险？

第一步是一个关键原则，就是搞出来数据安全或隐私保护政策，其中安全注意事项指导并告知用户数据收集实践。有人说根本没有什么人会去看那些文字，如同使用协议一样的，点“接受”或“同意”就过去了。这人就是不懂，那是法律条款，你接受了，就表示同意了，相当于一个微型的合约就达成了，不出事儿倒好，出事儿了，有合约在，权利才能得到保障，即使是电子记录形式的合约。

第二步，包括中小企业在内的所有机构，都应仅收集相关的个人信息，并仅在需要时保留这些信息，并制定销毁不必要数据的流程。这要说到做到，有章法可以向监管机关展示，有执行记录可以做证明，就是大道昭昭，合规守法经营，黑帮也不敢惹你，鬼都不敢上身。

第三步，明智地控制对数据的访问。当网络上有敏感数据（例如工资或客户订单、联系信息）时，请仅允许需要使用这些信息的人访问。控制谁可以访问所有类型的信息，刚入职的新员工，在还不够稳重可靠时，不要马上给他/她访问这些数据的权限。

第四步，需要安全密码和身份验证，大多数黑客通过坏密码或弱密码破坏网络。确保用户创建强密码（现在建议使用长短语）并将所有密码保存在安全位置。这个安全位置，通常指的是大脑，或者密码管理器，不是随意写在纸条上，贴出去，或者写在博客网站里可供世界上任何人查看。

第五步，安全地存储敏感的个人信息并在传输过程中对其进行保护。如果需要传输数据，请确保使用经过验证的安全方法，例如加密，这是必须的，WEB不搞SSL证书、邮箱不弄个TLS/SSL支持（HTTPS、SMTPS、IMAPS协议），现在就没法混电子商务，因为黑客会通过网络窃听未加密的明文密码和信息。

第六步，分割工作网络并监控网络进出流量。没必要过于限制员工们个人的互联网访问权限，但是得防万一出现网络安全问题，警察来要访问记录并进行查案。此外，对内部关键数据的访问，关系着业务生存和发展，只给各部门人员他们需要访问的网络权限。例如，销售人员应无法访问公司的财务数据或其他销售人员的帐户。分割网络访问有助于限制违规造成的损害。

此外，强化安全远程访问也很必要，架设VPN太容易了，而且保护在外人员安全的效果非常好，可以确保远程访问网络的每个人都拥有强大且安全的连接，因为只需一个容易发生数据泄露的点，即可让整个公司受到重大损失。在外工作的人员经常性的，也会越来越多地使用智能手机，一不小心连接到开放式无线网络，如果没有VPN的话，可能导致数据轻易泄露。

第七步，在开发新产品时应用健全的安全实践，此步骤是企业在开发自己的软件产品（例如应用程序）时应采用的标准策略。当然啦，有不少中小企业是将这些软件开发外包的，那就要确保服务提供商实施合理的安全措施，对于经常依赖供应商存储其数据的小型企业来说，这是非常重要的措施，提出这项，会让服务供应商另眼相看，重视数据安全。

确保供应商通过测试他们的合规性来正确保护数据，并在合同中加入要求供应商保持一定安全级别的条款。谁不想等到出现数据泄露时才发现供应商没有采用良好的安全措施，这不仅是责任的归属问题，更是在危难之时保障自身权利的必备！

第八步，制定程序以保持安全最新并解决可能出现的漏洞，保持软件最新，启用防恶意软件程序，这是个安全管理最基本的实践，也是IT安全必备技能，因为系统安全更新对于保护网络和数据安全很重要。

第九步，保护纸张、物理介质和设备，这些比较传统的信息容易被电子时代的管理者们所忽略，比如打印出来的合同、订单、发票自留页等，别大意，大型机构有保密部门，中小企业就用与保护电子数据相同的步骤保护其他形式的载体。所有的信息都需要以安全的方式存储，当业务目的结束时，应丢弃不需要的信息。当然啦，使用WIKI或更为良好的文档管理系统将帮助跟踪所有数据，包括非电子格式的数据。

总之，信息安全不仅仅是政策、程序、标准和指南，还包括对合规审计或行业要求的回应。对于大多数员工来说，这是一个需要进行文化变革的业务流程。在要求任何人遵守安全措施之前，他们必须首先了解需求和流程。这是一个持续的过程，从新员工入职培训开始，一直持续到离职后的离职面谈。它必须至少每年进行一次，并包括定期提醒。

信息安全意识不需要庞大的预算。但是，它确实需要花费管理者和员工们一些时间。对于管理者来说，在实施上述安全程序（步骤）之前，您必须将其应用给自己，然后向全员进行推广，其中的沟通涉及意识计划，必须使用理性和逻辑的声音。从小处着手并扩展。当员工意识到有一个安全计划时，它已经成为文化的一部分。昆明亭长朗然科技有限公司积极顺应时代变化，专注于帮助各类型组织机构解决“人员”方面的安全风险，我们创作了大量的教程资源内容，包括安全、保密、合规等主题在内的动画视频、电子图片和电子课件，同时，我们拥有基于云计算的弹性学习管理系统，可以帮助各类型机构快速发起针对全员的安全意识在线学习计划，进而修复安全防范体系中“人为因素的弱点”。欢迎有兴趣的朋友联系我们，预览课程内容和洽谈采购事宜。

• 电话：0871-67122372
• 手机、微信：18206751343
• 邮件：info＠securemymind.com