社交网络媒体近年来非常热火，不少公司开立了VIP帐户用于宣传公司的产品和服务，甚至进行在线客户支持服务，也有不少大型公司纷纷鼓励员工开通个人帐户，力图将所有员工者打造成公司战略品牌的网络行销专员。

同时，也有网络犯罪分子看到了这一点，他们受雇佣于各大市场调查公司、商业间谍公司或竞争对手，利用社交网络的便利和多数公司员工的热心及好客心态，积极套取各类机密商业信息。

拿微博为例，除非特别进行私密设置，微博的内容对任何有帐户的其他人都是公开的，网络犯罪分子可以通过微博历史记录，分析和研究员工的兴趣爱好、消费倾向和详细身份。再加上近期微博推行实名制身份认证，更是协助网络犯罪分子轻松发现和定位目标公司的员工。

犯罪分子发动攻击的最常见的手法包括社交工程攻击，即伪称是客户或其它可信的职能机构人员，通过私信等方式向目标套取敏感信息。一旦不能得逞，转而旋即采取其它曲线方式，常见的便是设置调查问卷，策划抽奖活动，引诱目标员工填写在线调查表。

您有没有收到过类似的邀请，让您填写一些信息便有机会获得大奖呢？您有没有停下来好好想一想有多少人会参与，又有多少人能真正获得奖励呢？有没有想一想他们为什么要这些信息呢？有了这些信息，他们会做什么用处呢？

如果您是公司信息安全管理负责人，您认为公司的员工在遇到这种情况时，会不会也停下来想一想这些问题呢？

您可能会感到震惊，员工们参加调查问卷时不过想得到些奖励或回报罢了，可能根本没有兴趣或意识去想这么多，而他们所填写的内容几乎类似于人与人之间的随意沟通，是再智能的网络信息安全系统也无法完全识别和有效阻止的。

唯有的一种方法是加强员工的安全意识教育，让员工们能够了解到社交网络中存在的安全威胁，如何识别这些安全威胁和进行有效的应对。简单的针对于社交媒体调查方面，让员工们在“大奖”的诱惑面前能驻足思考，问一问自己上述几个问题，有一点点疑问或者怀疑有诈的时候能够及时罢手，并且立即报告公司安全服务团队。

昆明亭长朗然科技有限公司的安全培训顾问Bob Xue说过：公司需要让员工们知道：“真正出于保护客户隐私和安全的市场调查不会收集任何受访人员的私人信息，这些私人信息如姓名、邮箱、公司名称、详细地址和联系电话等等”。

在鼓励员工使用社交媒体工具帮助推广宣传公司的时候，公司安全管理负责人员要确保员工接受基本的社交网络安全使用教育，防止网络犯罪分子通过社交媒体发起“网络调查”来窃取公司机密。

不少网站都有提供在线的“联系我们”功能，包括即时通讯或在线表单，以方便来访者不需通过邮件系统而直接在线提交问题或需求，当然多数也会留有邮件地址以便有客户喜欢通过邮件联系方式。

即时通讯功能有的调取客户端通讯程序协议如QQ，MSN或Skype等，有的使用在线的Web第三方挂件；在线表单提交的结果往往会发送邮件给指定的邮箱或在后台系统中进行记录。

不管何种方式，当在线客服员工获得这些信息时，不论是问题还是需求都会让他们处于兴奋状态，进而放松安全警惕。而狡猾的攻击者则会充分利用这一点，通过伪造邮件和链接等方式对这些员工进行网络钓鱼攻击。

具体的方法则如上图所示，攻击者事先伪造一个假冒的网址：http://www.securemymind.com.hackme.hk/about-securemymind.html，然后通过即时通讯发送给客户员工，或通过网站提交留言，更狡猾的网络犯罪分子还会假借目标网站的系统邮箱，收到诈骗链接的客服人员一看地址：http://www.securemymind.com/about-securemymind.html，确实是自己的网址链接，sales@securemymind.com，还是自己人呢！于是便去点击，确实打不开啊，便找相关网站技术人员帮忙检查，其实在“打不开”的时候便不知不觉中了黑客的招儿。

如何能有效防范这些社交骗术、诈骗伎俩或称钓鱼攻击呢？当然首先得保障客户端安全软件的更新，但即使最新的防病毒软件也难查杀到网络犯罪分子特制的恶意程序。所以最重要的是教育员工提高安全警惕，并分享一些攻击信息的样本，还有时不时发动模拟攻击演习，检测一下员工们的安全防范意识，同时也要教育员工如果不慎点击这些钓鱼链接之后该如何进行紧急响应，比如断开网络连接、报告安全服务中心寻求帮助等等。