网络钓鱼是一种网络欺诈,利用欺骗性电子邮件、短信、社交媒体信息、虚假或误导性网站、语音留言甚至电话,诱导收件人提供敏感信息、点击恶意链接或打开有害附件。这里有六种常见的网络钓鱼诈骗以及如何避免上当受骗的建议。
1. 欺骗性网络钓鱼(Deceptive phishing)
网络罪犯冒充公家单位的发件人,要求收件人验证账户信息、更改密码或付款,从而窃取个人数据和登录密码。
2. 鱼叉式网络钓鱼 (Spear phishing)
这种计划通常针对特定的个人或公司,通过个性化信息要求受害者分享个人资料。一般来说,诈骗分子会先调查受害者在网上的购物记录、社交媒体贴文等记录,使得诈骗信息看起来更可信。
3. 捕鲸式网络钓鱼(Whaling)
捕鲸式网络钓鱼的目的是诱骗首席执行官(CEO)、首席财务官(CFO)和首席运营官(COO)等特定目标来披露敏感信息,比如工资数据或知识产权。由于许多高管没有参加过公司安全培训,往往很容易受到诈骗分子的影响。
4. 语音式网络钓鱼(Vising,或者“voice phishing”)
是指诈骗分子拨打目标手机,让接听者透露个人或财务信息。这些诈骗者经常把自己伪装成是银行、国税局等可信机构的人员,在电话中制造紧迫感或恐惧感来诱骗受害者提交敏感信息。
5. 短信式网络钓鱼(Smishing/SMS Phising)
这种诈骗方式将恶意链接放到短信中。这些信息往往看起来有可靠的来源,通过提供优惠券或赢得免费奖品的机会来诱骗受害者。
6. 嫁接式网络钓鱼(Pharming)
嫁接式网络钓鱼通过在受害者的电脑上安装恶意程序,指向犯罪选择的网站,让用户在诈骗网站上输入他们的登录密码、信用卡号等资料。
如何防止网络钓鱼诈骗
随着越来越多的罪犯利用网络诈骗窃取个人和公司信息,企业雇主和员工必须高度警惕,重视网络安全,以下行动可以将上当受骗的可能降到最低:
- 随时了解网络钓鱼技术。 IT应不断监控新的网路钓鱼欺诈,并相应地实施员工培训,比如模拟网络钓鱼场景。
- 在点击消息前先进行检查。网络钓鱼诈骗通常包含不正常的URL,所以在点击网站之前要检查网址。一个安全的网址总是以“http”开头。如果有疑问,请直接访问来源,不要点击有潜在危险的链接。此外,要警惕那些会引发情感或恐惧反应的信息。
- 保持电脑系统更新。安装电脑系统的安全补丁,更新软件和浏览器,避免网络罪犯利用系统漏洞。
- 切勿泄露个人信息。不要在网络上分享个人或财务敏感信息。如有疑问,访问公司的官方网页,并且拨打官方电话确认。
- 使用防病毒软件。在所有工作系统上安装防病毒软件,以检测和防止网络钓鱼攻击。
- 定期备份数据。公司应备有数据备份程序,受到网络攻击和勒索邮件时也不会妨碍公司的正常运作。
人力资源部在防止网络攻击中的作用
网络攻击是全球雇主越来越担心的问题,尤其是美国的雇主。公司的HR应与IT部门合作,提供教育和培训资源。
了解风险;制定备用计划
HR需要考虑公司使用的供应商和系统,包括计时软件、档案管理软件或学习管理系统,考虑在网络攻击下如何采取应对策略,如果以上工具中的任何一个停止工作会有什么后果,确保日常运营能够顺利进行,同时定期备份和归档关键信息。
制定网络培训和应急计划
公司每位员工都应该接受适当的网络安全协议和最佳做法培训,包括如何发现网络钓鱼诈骗、设置强度高的密码、不同的账户使用不同的密码,以及报告可疑的活动。另外,HR应该制定网络攻击应急计划,包括:
- 哪些数据受到影响?
- 这些数据有多敏感? (如是否包括地址、社安号或银行信息?)
- 雇主该如何报告数据泄露? (是否需要通知客户、员工、政府或以上所有人?)
- 根据数据泄露的类型,必须以多快的速度向相关方进行报告?
评估攻击行为并对员工做出回应
如果发生数据泄露,人力资源团队必须保持冷静,回应员工对泄露数据的担忧,并制定有意义的应对措施。例如,如果员工数据(可能或实际上)被泄露,雇主可以为员工提供免费的身份盗窃保护或信用活动监控服务。
考虑增加网络责任险(Cyber Liability)
网络责任险可作为企业保险中的附加险。当企业发生骇客攻击、公司电脑系统中毒瘫痪、不能营业以及客户资料外泄时,保险公司会协助企业在最快时间处理危机, 理赔电脑系统损失, 提供客户信用监管,协助企业重建声誉,弥补企业期间所损失的收入等。
网络攻击和钓鱼诈骗的现象日益剧增,雇主和HR应即刻采取行动,为随时可能发生的网络攻击做好准备。如果想要了解关于网络责任险Cyber Liability的资料,请联络华兴保险获得更多。
温馨提醒:此文档内容并非详尽无遗,不具备法律建议或效力,重要决定请务必咨询律师寻求法律意见,华兴保险客户可点此预约免费律师咨询。