西方企业员工的日常沟通对电子邮件的依赖度很高，不像我们中国人比较高频地使用手机和QQ、微信等社交媒体。而电子邮件的传输协议有其天生的不安全之处，便被不法分子用来发起各种骗局。对此，昆明亭长朗然科技有限公司网络安全顾问董志军表示：首先，只要知道邮箱地址，任何人都可以未经收件者的许可而向其发送电子邮件；其次，电子邮件地址和内容很容易伪造，稍懂一些SMTP协议的技术人员，都可以轻松假冒发件人地址为收件者有关的人员，甚至是收件者自己。

不要以为中国职场人士较西方人少使用电子邮件，就可以免遭受邮件相关的攻击。即使作为网络安全从业人员，我们也能隔三差五地收到各种钓鱼邮件，比如要求让账务人员加领导群的、系统升级要密码的、电脑中了恶意软件要求给其转账打款的。试想那些西方企业的大头儿们以及他们的秘书们，难道不是天天收这些钓鱼邮件吗？！这就是企业电子邮件攻击，也称为“ CEO欺诈”，这种CEO骗局非常有利可图，因为它只需成功几次即可使犯罪分子具有很高的成本效益。

如今，网络犯罪分子无需花费大量时间将网络钓鱼电子邮件发送到众多随机电子邮件地址，而是在进行攻击之前首先进行研究。他们选择要发起CEO骗局攻击的企业，然后使用社会工程学找出首席执行官或首席财务官的身份，并确定好该企业的攻击目标。他们通常会选择财务部门中负责资金管理的人员，或选择高级职员、公司律师、受信任的供应商等等。然后，网络犯罪分子会发送欺诈性电子邮件，冒充首席执行官或首席财务官，并试图欺骗他们发起一次或多次电汇。

通常，黑客会使用如下一些简单但高效的技巧来避免引起怀疑，并确保受害者迅速采取行动，而无需犹豫或进一步核实：

• 使用与目标企业的相似或相同的网域的电子邮件地址来欺骗目标受害者。
• 使用紧急语气，要求“尽快”完成资金转账。
• 在伪造的电子邮件中声明首席执行官或首席财务官正在开会，并且在会议期间不能被电子邮件或电话打扰。
• 表示发件人使用移动设备来写的电子邮件，方法是使用众所周知的常用短语“从我的iPhone发送”来代替公司的电子邮件签名。
• 网络犯罪分子将确保他们要求合理的电汇金额，以避免引起怀疑；他们在进行社会工程学研究时会收集到这些信息。

为什么能得逞？

• 网络钓鱼者依靠“惧怕老板”的心态：所有员工都希望在工作中表现出色，他们可能不会拒绝直接来自公司内重要人物的要求。员工通常感到有义务遵守领导们的要求，而这正是网络犯罪分子很清楚的一点。
• 对于这些CEO骗局，紧迫感也至关重要。由于电子邮件的收件人感到这是紧迫的事情，而且他无法联系他的老板再次批准转移，因此目标员工几乎肯定会陷入CEO欺诈骗局。

如何避免成为CEO欺诈的受害者呢？我们建议企业遵循以下提示：

• 对员工进行社会工程学、网络钓鱼及邮件安全意识的教育。
• 让员工们留意其收件箱中的电子邮件地址，以避免欺骗或敲诈。
• 让员工们对所有要求快速行动的电子邮件保持疑心，无论它们看起来是否异常，特别是有要求走特批或例外流程的。
• 建议员工们打个电话以验证业务合作伙伴或供应商的真实性。
• 启用关键应用如网银系统的双因素身份验证措施。

而对即使是较少外贸活动的中国职场人士来讲，黑客的欺诈不会少，只是渠道会从电子邮件转移至用户量更多的社交媒体。总而言之，犯罪分子使用的网络诈骗渠道和病毒式营销者的渠道是相同的，只是常规的营销者会提供产品或服务。CEO欺诈的防范，是一个综合性的体系，攻击越来越复杂和定向，防范体系必须要全面，全员的安全防范意识教育不能拖后。

昆明亭长朗然科技有限公司推出了专门针对职场人员的社会工程学防范意识课程，欢迎有需要的客户或伙伴们联系我们，洽谈合作。当然，如果您对文中的这个话题有兴趣或者有自己的观点看法，欢迎联系我们，以进一步深入探讨。

• 电话：0871-67122372
• 手机：18206751343
• 微信：18206751343
• 邮箱：[email protected]
• QQ：1767022898

引言：数字时代的潘多拉魔盒

“信息安全”这个词，在过去似乎只是IT部门的专属术语，与普通人的生活相去甚远。然而，随着数字化浪潮席卷全球，我们的生活、工作、乃至整个社会，都深度依赖于网络。从移动支付到远程办公，从智能家居到物联网，数字化的便利与效率，也带来了前所未有的安全风险。信息安全，早已不是高深的技术问题，而是关乎每个人的切身利益，是构建安全、稳定、繁荣数字化社会的基础。正如古人所言：“未食其果，先忧其木。” 我们必须在享受数字时代红利的同时，警惕潜藏其中的风险，提升信息安全意识，筑牢数字防线。

CEO欺诈：精心编织的陷阱

CEO欺诈，又称“拜罗什诈骗”（Business Email Compromise, BEC），是一种高度针对性的网络攻击。攻击者伪装成企业高管，通常是CEO或高层管理人员，通过电子邮件或电话欺骗员工，诱导他们泄露敏感信息或进行未经授权的资金转账。攻击者往往会利用高管的职位和权威，以及员工对上级的信任，精心编织一个看似合乎情理的“紧急任务”，从而达到诈骗的目的。

例如，攻击者可能冒充CEO，发送一封邮件，声称需要紧急转账给某个供应商，并提供一个看似真实的转账理由。邮件中可能包含紧急的语气、紧迫的时间要求，以及要求员工绕过常规审批流程的指示。如果员工不具备足够的安全意识，可能会被攻击者成功欺骗，导致企业遭受巨大的经济损失。

案例分析：不理解、不认同与冒险

以下四个案例，讲述了在信息安全意识薄弱的情况下，员工不理解、不认同安全理念，甚至刻意躲避或抵制安全要求，最终导致信息安全风险的案例。

案例一：财务部的“快捷审批”

背景： ABC公司财务部最近实施了新的资金转账审批流程，要求所有超过一定金额的转账都必须经过多层审批。为了提高效率，财务主管建议员工使用一个“快捷审批”的软件，绕过常规审批流程。

事件： 财务部的一名员工，张女士，对新的审批流程感到不理解。她认为，多层审批会拖慢工作效率，而且她长期以来一直习惯使用“快捷审批”软件，觉得操作起来非常方便。尽管安全部门多次强调“快捷审批”软件存在安全风险，可能会被攻击者利用，但张女士仍然坚持使用该软件，并认为安全部门的建议过于保守。

结果： 攻击者利用“快捷审批”软件，成功骗取了张女士的权限，并进行了一笔巨额资金转账。由于缺乏安全意识，张女士没有及时发现异常，导致公司遭受了巨大的经济损失。

借口与教训： 张女士的“借口”是效率优先，以及对现有习惯的依赖。她没有认识到，安全措施并非是为了阻碍工作，而是为了保护企业利益。这体现了不理解安全理念，只顾眼前利益的错误认知。教训是：安全意识教育必须深入人心，要让员工真正理解安全措施的必要性，并将其融入到日常工作中。

案例二：IT部门的“技术难题”

背景： XYZ公司IT部门最近部署了一个新的身份验证系统，要求所有员工使用多因素认证。然而，一些员工认为多因素认证过于麻烦，影响了工作效率。

事件： IT部门的一名工程师，李先生，对多因素认证系统存在一些技术上的疑问，但他没有主动向安全部门寻求帮助，而是选择自己尝试解决。他认为，多因素认证系统存在一些漏洞，可能会影响系统的稳定性。尽管安全部门多次解释多因素认证系统的安全性，并提供技术支持，但李先生仍然坚持自己的观点，并试图绕过多因素认证系统。

结果： 李先生试图绕过多因素认证系统的行为，被攻击者利用，成功入侵了公司网络。由于缺乏安全意识，李先生没有及时发现异常，导致公司遭受了严重的网络安全事件。

借口与教训： 李先生的“借口”是技术上的疑虑，以及对现有系统的不信任。他没有认识到，安全部门的职责是提供技术支持，帮助员工解决安全问题，而不是阻碍员工的工作。这体现了不认同安全理念，以及对安全部门的不信任。教训是：要加强安全部门与员工之间的沟通，建立良好的合作关系，让员工感受到安全部门的专业性和可靠性。

案例三：销售团队的“客户信息共享”

背景： PQR公司销售团队为了提高销售效率，经常需要共享客户信息。然而，销售团队的成员对客户信息的保护意识普遍不足。

事件： PQR公司销售团队的一名销售代表，王女士，为了快速完成销售任务，将客户信息通过非加密的邮件发送给同事。她认为，客户信息只是内部共享，没有必要进行加密。尽管安全部门多次强调客户信息的敏感性，并要求销售团队使用安全的沟通工具，但王女士仍然坚持使用非加密的邮件发送客户信息。

结果： 攻击者截获了王女士发送的包含客户信息的邮件，并利用这些信息进行诈骗活动。由于缺乏安全意识，王女士没有及时发现异常，导致公司遭受了客户信息泄露的损失。

借口与教训： 王女士的“借口”是效率优先，以及对客户信息保护的轻视。她没有认识到，客户信息泄露不仅会损害公司利益，还会损害客户的权益。这体现了不认同安全理念，以及对信息保护的漠视。教训是：要加强对销售团队的安全意识教育，强调客户信息保护的重要性，并提供安全的沟通工具。

案例四：管理层的“风险忽视”

背景： STU公司管理层对信息安全风险的重视程度不够，没有制定完善的信息安全管理制度。

事件： STU公司管理层批准了一项未经评估的软件采购项目，该软件存在安全漏洞，容易被攻击者利用。尽管安全部门多次提出风险警告，但管理层没有重视，而是认为软件的性能和功能更重要。

结果： 攻击者利用软件的安全漏洞，成功入侵了公司网络，并窃取了大量的商业机密。由于管理层对信息安全风险的忽视，公司遭受了巨大的经济损失和声誉损害。

借口与教训： 管理层的“借口”是追求效率和利益，以及对安全风险的忽视。他们没有认识到，信息安全风险是企业发展的重要制约因素，必须得到重视和管理。这体现了不理解安全理念，以及对企业长期发展的忽视。教训是：信息安全风险管理必须从管理层开始，要建立完善的信息安全管理制度，并确保所有员工都遵守。

数字化时代的挑战与机遇

在当今数字化、智能化的社会环境中，信息安全风险日益复杂和多样化。人工智能、大数据、云计算等新兴技术的应用，为企业带来了巨大的发展机遇，同时也带来了前所未有的安全挑战。

• 人工智能带来的风险： 人工智能技术可以被用于发起更智能、更隐蔽的网络攻击，例如利用深度学习技术生成更逼真的钓鱼邮件，或者利用机器学习技术自动识别和绕过安全防御系统。
• 大数据带来的风险： 大数据分析可以被用于收集和分析用户的个人信息，从而进行精准的诈骗和攻击。
• 云计算带来的风险： 云计算环境的安全风险较高，例如数据泄露、服务中断、权限管理不当等。
• 物联网带来的风险： 物联网设备的安全漏洞较多，容易被攻击者利用，例如入侵智能家居系统、窃取个人信息、甚至控制关键基础设施。

面对这些挑战，我们必须积极提升信息安全意识和能力，构建全方位的安全防御体系。

信息安全意识教育计划方案

为了应对数字化时代的挑战，我们提出以下信息安全意识教育计划方案：

1. 强化理论教育： 定期组织信息安全知识培训，讲解常见的安全威胁、攻击手段、安全防护措施等。
2. 开展情景模拟： 通过模拟钓鱼邮件、模拟社会工程攻击等方式，提高员工的安全意识和应对能力。
3. 建立安全文化： 营造积极的安全文化，鼓励员工主动报告安全问题，并对安全行为进行奖励。
4. 加强技术保障： 部署安全防护系统，例如防火墙、入侵检测系统、防病毒软件等，并定期进行安全评估和漏洞扫描。
5. 完善制度规范： 制定完善的信息安全管理制度，明确员工的安全责任，并对违规行为进行处罚。

昆明亭长朗然科技有限公司：您的信息安全守护者

昆明亭长朗然科技有限公司是一家专注于信息安全产品和服务的高科技企业。我们提供全面的信息安全解决方案，包括：

• 安全意识培训： 定制化的安全意识培训课程，帮助企业提升员工的安全意识和应对能力。
• 安全评估： 全面的安全评估服务，帮助企业发现安全漏洞，并制定相应的安全防护措施。
• 安全产品： 高性能的安全产品，例如防火墙、入侵检测系统、防病毒软件等，为企业提供全方位的安全防护。
• 安全咨询： 专业的信息安全咨询服务，帮助企业解决安全问题，并构建安全体系。

我们坚信，信息安全是企业发展的基石，也是社会进步的保障。让我们携手合作，共同构建一个安全、稳定、繁荣的数字化社会！

昆明亭长朗然科技有限公司不仅提供培训服务，还为客户提供专业的技术支持。我们致力于解决各类信息安全问题，并确保您的系统和数据始终处于最佳防护状态。欢迎您通过以下方式了解更多详情。让我们为您的信息安全提供全方位保障。

• 电话：0871-67122372
• 微信、手机：18206751343
• 邮件：info＠securemymind.com
• QQ: 1767022898