网络钓鱼大讲堂 Part2 | 网络钓鱼风险（攻击带来的损失）

网络钓鱼攻击可窃取身份信息，摧毁生活。这种攻击会波及到每个人，上至高级银行经理下至从未听说过网络诈骗的未成年人均有可能被感染。不过，令人遗憾的是，网络钓鱼攻击已有10多年的历史，但很多人仍因不了解该攻击的基本原理而沦为此类网络诈骗的受害者。

首先让我们了解一下成功的网络钓鱼攻击所采取的攻击方式：

• 利用数据访问受害者的账户，然后提款或进行在线交易，如购买产品或服务。
• 利用数据以受害者名义开设虚假银行账户或信用卡，然后利用非法支票套现。
• 在受害者的计算机系统中安装病毒和蠕虫，向受害者的联系人传播钓鱼邮件。
• 利用某些系统存储的数据获取高价值的组织数据，如银行信息、员工凭证及社保号等。

接下来，我们从几个方面介绍网络钓鱼攻击带来的影响或损失。网络钓鱼攻击会产生各种各样的危害，在本文我们特别关注财务损失、声誉损失及导致的拒绝服务(DoS)。

财务损失

对于组织来说，评估网络钓鱼攻击导致的财务损失并不容易，因为要考虑多种因素。多年来，企业由于惨遭钓鱼攻击诈骗已损失几十亿美元。

就鱼叉式钓鱼攻击来说，2015年平均每次攻击事件就造成了150万美元的损失。Ponemon机构发布的报告表明，2016年第一季度，成功的网络钓鱼攻击导致的平均损失高达370万美元。即使已部署特定安全措施防止此类诈骗，组织仍遭网络钓鱼攻击“光顾”。

尽管形势很严峻，目前超过70%的组织仍依赖传统杀毒软件和反间谍软件程序，掌握的有关如何保护数据的知识非常有限。组织需明白实现全面安全须采用广泛的安全措施。传统杀毒程序可能会过滤某些邮件或防止用户打开某些附件，一旦恶意消息与常规诈骗消息存在差异，就有可能绕过杀毒程序而不被发现。

联邦调查局(FBI)发布报告称，大型企业因收到鱼叉式钓鱼邮件而遭遇了数次财务损失。利用这些邮件，攻击者伪装成公司管理人员，让员工将资金转账给实则为攻击者控制的账户。攻击者伪造公司高层的账户，并结合其它钓鱼攻击方法让员工误认为资金转账请求来自公司高层或供应商。该报告还指出，攻击者一般锁定与国外供应商有合作或经常进行电子转账的企业。

2016年1月，奥地利飞机零件制造商FACC公司因遭遇钓鱼攻击损失近5400万美元。鉴于公司遭受重大财务损失和声誉损失，该公司的首席执行官(CEO)于同年3年被解雇。

降低财务损失

已遭遇过钓鱼诈骗的组织或此类攻击的潜在受害者需制定并维护全面的钓鱼攻击防护计划。这样，组织即使不一定完全规避网络钓鱼攻击风险，但会避免直接损失或将损失降至最低。

该计划应提供严格的规范，为用户明确各种情况下的具体响应操作。上面提及的FBI报告指出，大部分财务损失是在入侵发生的24小时之内导致的。

为降低财务损失，组织应采取以下措施：

• 明确所有利益主体，划分职责并向其传达。
• 制定与组织当前的流程和程序相符的网络钓鱼防护和响应计划，并提供相关文件。
• 制定有效的内部和外部沟通流程。
• 明确网络钓鱼响应升级路径。
• 尽量减少负面用户体验，树立客户对组织的在线服务的信心。
• 成立反网络钓鱼团队，专门负责减少此类攻击造成的损失。

声誉损失

打造一个成功品牌需数年持续服务和用户满意度的积累。所有的成功品牌均来自于客户的信任，而赢得客户的信任并非易事。不要留有任何机会让针对您的品牌权益的攻击趁虚而入，因为这会对您的品牌信誉造成不可挽回的损失。

Frost & Sullivan公司的调查显示，71%的安全从业人员将“品牌保护”视为首要任务。攻击者每年都要向数百个顶级品牌发动数千次网络钓鱼攻击。所有涉及在线业务的品牌都是攻击者的目标，而那些拥有海量用户数据的企业倍受黑客青睐。

品牌信誉受损代价

组织的财务损失可能会在一段时间内得到弥补，而品牌信誉损失则需数年时间才恢复。一旦组织遭遇攻击事件，客户未来或会中断与组织的业务往来。

Ponemon机构的调查表明，31%的受访者表示若被告知合作组织遭遇数据安全入侵事件，会中断合作关系。并且，他们还表示若第三方供应商遭遇此类事件，会立即中止合同。

有意思的是，即使用户并未向攻击者提供信息而中招网络钓鱼诈骗，也会对公司产生误解。实际上，就连客户收到假冒组织的钓鱼邮件都会在心中给企业形象打负分，致使品牌信誉受损。一旦公司被攻击的消息扩散，原来越多的客户会因担心身份信息遭窃而转向企业竞争者。

降低声誉损失

品牌信誉指客户对品牌的信任程度。即使企业已拥有强大客户群，提供卓越产品或服务，请别忘了网络攻击者也能利用同等优势，通过精心准备而提取企业的关键信息。品牌成功不仅仅取决于销售额，在很大程度上还依赖于企业保护客户及其信息的能力。因此，构建安全架构使企业与客户安全地开展业务活动是企业的一个基本需求。

一旦出现数据丢失，媒体便立即会对攻击事件进行各种分析，大肆渲染。因此，建议企业制定预案处理此类事件。企业应坦率地讲出攻击事实，然后就攻击原因和过程给出合理解释。这将说明事态已在企业的控制之中。若您尚未弄清攻击实情，请勿让媒体对您指手画脚，直至您彻底查明攻击原由。

请勿责怪第三方，除非您100%确定此次攻击事件属于第三方责任范围，且您的合同允许您这样做。重建客户信任的最有效途径是立即就此次攻击事件道歉，并明确如何降低损失。

导致拒绝服务

企业在节日期间会面临更多钓鱼欺诈邮件和DoS攻击。2014年，著名的索尼影业遭黑客攻击事件就始于员工点击了钓鱼邮件。时隔两年，DoS攻击愈发猖獗。若某人想损害您的业务，节日期间是最佳攻击时机。因为节日期间是业务最繁忙的时候，发起攻击可造成重大财务损失。

尽管DoS攻击造成的财务损失为直接损失且因行业而异，但依赖互联网开展业务活动的组织最易中招。除了收益，财务损失还包括攻击调查和响应开销、客户支持费用和经济诉讼以及导致的声誉损失和生产力损失代价。

在线客户通常希望可方便快速地获取信息。微软称，如果你的站点速度比竞争对手慢250毫秒以上，客户可能会对你失去兴趣。此外，若客户无法加载网站获取特定信息、进行采购或使用特殊服务，会感到非常不满。

尽管DoS攻击对业务的整体影响难以评估，但企业在财务损失、客户流动率和声誉损失方面付出了高昂代价，这一点毋庸置疑。

避免损失

虽然我们不能完全避免此类攻击事件，但在一定程度上可防止攻击发生。

首先，确保您的公共web服务和其他服务在云端运行或与物理基础设施隔离。这样，一旦DoS攻击发生，仅对网页有影响，不会波及其他服务。

其次，确保公共托管服务提供商提供抗DoS服务。完善的端点防护必定能拦截大量钓鱼邮件，否则员工可能会无意点击这些邮件。基于这种情况，应对员工进行培训，使其提高警惕，了解如何应对可疑钓鱼欺诈。

此外，对公司重要业务如Twitter和Facebook上的公共主页开启双重认证。启用双重认证后，密码即使被窃取也没有什么危险。甚至对于那些未采用双重认证的服务，也要采用唯一密码，并在容器中加固。这样，尽管密码被窃取，攻击者也无法获得企业的完全访问权。

本文作者：绿盟科技

来源：51CTO