網絡釣魚是一種網絡欺詐,利用欺騙性電子郵件、短信、社交媒體信息、虛假或誤導性網站、語音留言甚至電話,誘導收件人提供敏感信息、點擊惡意鏈接或打開有害附件。這裏有六種常見的網絡釣魚詐騙以及如何避免上當受騙的建議。
1. 欺騙性網絡釣魚(Deceptive phishing)
網絡罪犯冒充公家單位的發件人,要求收件人驗證賬戶信息、更改密碼或付款,從而竊取個人數據和登錄密碼。
2. 魚叉式網絡釣魚 (Spear phishing)
這種計劃通常針對特定的個人或公司,通過個性化信息要求受害者分享個人資料。一般來説,詐騙分子會先調查受害者在網上的購物記錄、社交媒體貼文等記錄,使得詐騙信息看起來更可信。
3. 捕鯨式網絡釣魚(Whaling)
捕鯨式網絡釣魚的目的是誘騙首席執行官(CEO)、首席財務官(CFO)和首席運營官(COO)等特定目標來披露敏感信息,比如工資數據或知識產權。由於許多高管沒有參加過公司安全培訓,往往很容易受到詐騙分子的影響。
4. 語音式網絡釣魚(Vising,或者“voice phishing”)
是指詐騙分子撥打目標手機,讓接聽者透露個人或財務信息。這些詐騙者經常把自己偽裝成是銀行、國稅局等可信機構的人員,在電話中製造緊迫感或恐懼感來誘騙受害者提交敏感信息。
5. 短信式網絡釣魚(Smishing/SMS Phising)
這種詐騙方式將惡意鏈接放到短信中。這些信息往往看起來有可靠的來源,通過提供優惠券或贏得免費獎品的機會來誘騙受害者。
6. 嫁接式網絡釣魚(Pharming)
嫁接式網絡釣魚通過在受害者的電腦上安裝惡意程序,指向犯罪選擇的網站,讓用戶在詐騙網站上輸入他們的登錄密碼、信用卡號等資料。
如何防止網絡釣魚詐騙
隨著越來越多的罪犯利用網絡詐騙竊取個人和公司信息,企業雇主和員工必須高度警惕,重視網絡安全,以下行動可以將上當受騙的可能降到最低:
- 隨時了解網絡釣魚技術。IT應不斷監控新的網路釣魚欺詐,並相應地實施員工培訓,比如模擬網絡釣魚場景。
- 在點擊消息前先進行檢查。網絡釣魚詐騙通常包含不正常的URL,所以在點擊網站之前要檢查網址。一個安全的網址總是以“http”開頭。如果有疑問,請直接訪問來源,不要點擊有潛在危險的鏈接。此外,要警惕那些會引發情感或恐懼反應的信息。
- 保持電腦系統更新。安裝電腦系統的安全補丁,更新軟件和瀏覽器,避免網絡罪犯利用系統漏洞。
- 切勿泄露個人信息。不要在網絡上分享個人或財務敏感信息。如有疑問,訪問公司的官方網頁,並且撥打官方電話確認。
- 使用防病毒軟件。在所有工作系統上安裝防病毒軟件,以檢測和防止網絡釣魚攻擊。
- 定期備份數據。公司應備有數據備份程序,受到網絡攻擊和勒索郵件時也不會妨礙公司的正常運作。
人力資源部在防止網絡攻擊中的作用
網絡攻擊是全球雇主越來越擔心的問題,尤其是美國的雇主。公司的HR應與IT部門合作,提供教育和培訓資源。
了解風險;制定備用計劃
HR需要考慮公司使用的供應商和系統,包括計時軟件、檔案管理軟件或學習管理系統,考慮在網絡攻擊下如何採取應對策略,如果以上工具中的任何一個停止工作會有什麽後果,確保日常運營能夠順利進行,同時定期備份和歸檔關鍵信息。
制定網絡培訓和應急計劃
公司每位員工都應該接受適當的網絡安全協議和最佳做法培訓,包括如何發現網絡釣魚詐騙、設置強度高的密碼、不同的賬戶使用不同的密碼,以及報告可疑的活動。另外,HR應該製定網絡攻擊應急計劃,包括:
- 哪些數據受到影響?
- 這些數據有多敏感?(如是否包括地址、社安號或銀行信息?)
- 雇主該如何報告數據泄露?(是否需要通知客戶、員工、政府或以上所有人?)
- 根據數據泄露的類型,必須以多快的速度向相關方進行報告?
評估攻擊行為並對員工做出回應
如果發生數據泄露,人力資源團隊必須保持冷靜,回應員工對泄露數據的擔憂,並制定有意義的應對措施。例如,如果員工數據(可能或實際上)被泄露,雇主可以為員工提供免費的身份盜竊保護或信用活動監控服務。
考慮增加網絡責任險(Cyber Liability)
網絡責任險可作爲企業保險中的附加險。當企業發生駭客攻擊、公司電腦系統中毒癱瘓、不能營業以及客戶資料外洩時,保險公司會協助企業在最快時間處理危機, 理賠電腦系統損失, 提供客戶信用監管,協助企業重建聲譽,彌補企業期間所損失的收入等。
網絡攻擊和釣魚詐騙的現象日益劇增,雇主和HR應即刻採取行動,為隨時可能發生的網絡攻擊做好準備。如果想要瞭解關於網絡責任險Cyber Liability的資料,請聯絡華興保險獲得更多。
溫馨提醒:此文檔内容并非詳盡無遺,不具備法律建議或效力,重要決定請務必諮詢律師尋求法律意見,華興保險客戶可點此預約免費律師諮詢。
