(什么是电子邮件地址)

导读：宝 今天去钓鱼了 钓的什么鱼……网络钓鱼（Phishing）是犯罪分子最常实施的网络攻击方式，也是最容易让用户上当的欺诈形式之一。攻击者通过电子通信（电子邮件、短信、社交媒体等）伪装为信誉良好的人或公司，诱导用户通过点击链接来泄露敏感信息、

什么是电子邮件地址,

宝 今天去钓鱼了 钓的什么鱼……

网络钓鱼（Phishing）是犯罪分子最常实施的网络攻击方式，也是最容易让用户上当的欺诈形式之一。攻击者通过电子通信（电子邮件、短信、社交媒体等）伪装为信誉良好的人或公司，诱导用户通过点击链接来泄露敏感信息、或下载恶意附件感染其网络。

网络钓鱼攻击已经对企业数据和端点安全构成持续威胁，攻击者不断探索新的攻击途径并修改网络钓鱼电子邮件，以找到有效的方法来说服人们点击其中的链接、打开附件，或填写提交关键信息，从而侵入账户、窃取公司资金或泄露敏感数据资产。

回顾2020年，它不仅是COVID-19对每个人生活产生重大影响的一年，也是网络钓鱼攻击比前一年翻番的一年。

常见的网络钓鱼攻击类型

网络钓鱼攻击在企业数字威胁格局中持续占据着主导地位，是企业数据泄露中最大的威胁类型。所有企业都应该知道如何发现最常见的网络钓鱼骗局，并且还要熟悉恶意攻击者用来实施这些骗局的最常见技术类型。

欺骗性网络钓鱼（Deceptive Phishing）：欺骗性网络钓鱼是迄今为止最常见的网络钓鱼诈骗类型。攻击者冒充合法公司，试图窃取用户的个人数据或登录凭据。这些电子邮件经常使用威胁和紧迫感来欺骗用户，并可能使用缩短的网址作为欺骗安全电子邮件网关（SEG）的手段，并试图通过在其攻击的电子邮件中包含最少内容来逃避风险检测。

鱼叉式网络钓鱼（Spear Phishing）：鱼叉式网络钓鱼攻击针对特定用户或群体，攻击者从公开（新闻、社交媒体等）和非公开（泄露的内部文件、内部信息）的数据源中获取与员工姓名、工作角色相关的特定信息，或使用他们感兴趣的电子邮件主题以诱骗他们打开邮件、单击其中的链接或附件。91％的网络攻击行为，几乎都是从鱼叉式网络钓鱼邮件开始的。

CEO欺诈（CEO Fraud）：攻击者假装成公司的首席执行官或其他高管向较低级别的员工（通常是财务部门的工作人员）发送电子邮件，通知其将资金转移到虚假账户。这些电子邮件的目的就是获取企业商业机密信息或让受害者蒙受资金损失。

捕鲸攻击（Whaling Attack）：这是一种鱼叉式网络钓鱼，很像CEO欺诈的反转版本。攻击者不是针对企业内的低级别人员，而是针对高层管理人员，如首席执行官、首席财务官和首席运营官等，其目标是诱导高管输入敏感信息和公司数据。确实，一旦被攻击，一定是条大鱼，所以形象地称之为捕鲸。

域欺骗（Pharming）:这种攻击手段将伪造一个新的电子邮件头，使它看起来像是来自一家合法公司的电子邮件地址；或者创建一个欺诈网站，让它的域名看上去是合法的或与合法公司相似的域名。其目的是让员工受到混淆，在恶意网站上登录或提交敏感信息。

短信和电话（Smishing & Vishing）：Smishing是攻击者通过发送看似来自合法来源，并包含恶意URL以便点击的文本消息来诱使用户下载恶意应用的一种方式；而Vishing攻击者经常使用各种社交工程策略，通过电话来诱骗你提供个人或企业敏感信息。这个就像大家熟悉的电话“小王啊，来我办公室一趟……”，虽然显得不够高级，但依然十分猖獗。

常见的网络钓鱼攻击方法

网络钓鱼攻击者使用不同的欺骗手段来愚弄攻击目标，在攻击的电子邮件中经常会包括恶意的域名、欺骗性电子邮件地址，包含恶意代码的附件等等。识别这些常见的攻击方法，将有效降低被钓鱼攻击的风险。

指向恶意网址：例如一封敦促收件人点击链接的电子邮件，而这些链接指向了包含恶意代码的网站。

伪造的登录和信息表单：当用户单击邮件中的 URL 地址时，攻击者提供了一个虚假的登录界面，提示用户输入他们的用户名和密码。其实稍加留意，就会发现这个登录窗口的网址是十分异常的。

包含恶意附件：攻击者发送带有看似合法附件的电子邮件，例如Office 文档。这些附件中包含执行恶意脚本或伪装成合法文件的特洛伊木马的宏文件，一旦运行，则将被攻击者所控制。

账户欺骗：攻击者伪装成合法的人物，例如企业 IT人员、高级行政人员。他们通过伪装的身份向企业内部发起网络钓鱼攻击，让员工对钓鱼攻击邮件中的信息感觉更有说服力或诱惑力。

网络钓鱼电子邮件在欺骗员工方面非常有效，有将近 25%的员工承认在工作中点击过网络钓鱼电子邮件，而这些事件造成的损失是十分严重的，因为这些攻击将导致：

窃取或丢失敏感数据，包括客户和员工的个人身份敏感信息

将受保护的数据，泄露给未经授权的攻击来源，企业将面临法规遵从的不合规罚款

·一旦受到攻击，企业必将努力从网络钓鱼攻击造成的损失中恢复，势必对业务的连续性造成严重影响

一旦企业敏感数据失窃，必将对公司声誉造成严重损害

防范建议1：启用威胁抵御策略

防范网络钓鱼邮件的第一道防线是，不要为员工提供查看钓鱼邮件的机会。电子邮件过滤技术将有助于减少到达员工收件箱的可疑和潜在高风险电子邮件的数量。

如果你的企业正在使用 Microsoft 365 ，企业信息安全管理员可以在全新的“安全”管理中心中打开 Microsoft 365 Defender 配置“威胁策略”。

其中涵盖了反网络钓鱼策略、反垃圾邮件策略、反恶意软件策略、安全附件策略及安全链接策略等，借助 Microsoft 365 Defender 智能过滤入站的电子邮件潜在风险或可能存在的恶意攻击，为企业电子邮件提供额外的安全层。

防范建议2：使用内部攻击模拟培训

使用内部攻击模拟培训有助于企业员工提高对新出现威胁的认识，就像疫苗一样，通过引入模拟的网络钓鱼电子邮件来触发响应，培训企业用户识别和挫败未来的攻击。

如果你的企业拥有 Microsoft 365 E5 或 Microsoft Defender for Office 365 Plan 2 （包括威胁调查和响应功能）订阅，可以使用 Microsoft 365 Defender 门户中的攻击模拟培训在企业内运行真实的攻击方案。这些模拟攻击可以帮助你在真实攻击下，及时识别和查找易受攻击的用户，并对他们针对性地进行防钓鱼攻击培训。

在 Microsoft 365 中的“攻击模拟培训”中，企业信息安全管理员可以根据不同的模拟场景选择攻击技术，例如获取凭据、恶意软件附件、附件中的恶意链接、链接到恶意软件及恶意 URL 等。

并且已经为企业信息安全管理员预设了模拟钓鱼攻击所使用的电子邮件模板，并且为每个模板标注了此类钓鱼攻击可能会触发的被盗用率，以便可以全面衡量本企业同事的信息安全防范意识。

要使“攻击模拟培训”得到应有的效果，同时避免造成企业内部工作秩序恐慌，企业信息安全管理员需要制订一个明确的攻击计划，并要考虑其中的一些细节工作。

Step 1：模拟钓鱼攻击前的准备

在开始模拟钓鱼攻击之前，充分考虑你的企业或团队工作文化是明智之举。并且我们需要规划具体的模拟攻击培训目标，并确定通过安全意识计划希望达到的成熟程度。这些量化的具体指标，可以有效衡量你的模拟钓鱼攻击培训是否成功。

模拟钓鱼攻击培训，不应是保密进行的。在开始之前，需要与利益相关者、部门主管和企业管理层保持沟通，解释提高企业安全意识的重要性，并列出你提议的培训步骤。

Step 2：计划模拟钓鱼攻击后会发生什么

当你运行模拟钓鱼攻击培训时，有些人不可避免地会失败，因此你必须提前计划如何处理结果。

要获得可衡量的结果，必须确保你有一个事件响应计划。要让每个人都知道，如果他们收到可疑的网络钓鱼电子邮件，他们应该做什么——例如可以将可疑的网络钓鱼电子邮件转发到 IT 支持团队的特定邮箱。

如果你需要与每个人分享模拟钓鱼攻击的结果，不要在电子邮件中列出那些失败的同事名单，例如你可以指出30%的人没有通过网络钓鱼测试，我们必须做得更好，以加强改善企业信息安全的重要性。

同时，你还必须计划如何处理测试失败的人，尤其是那些反复测试失败的人。针对测试失败的用户，必须要提供加强性安全意识培训，并为他们提供如何准确识别网络钓鱼电子邮件的说明。

Step 3：进行基线测试

通过发送一封通用的网络钓鱼电子邮件来建立基线，该电子邮件可以模拟如果一个网络钓鱼攻击者袭击你的企业会发生什么情况。

这封模拟攻击的电子邮件应该适用于企业中的每个人，而且是每个人都可能想要的东西，例如来自 IT 部门的“密码过期提醒”邮件，或来自 HR 部门的“更新你的工资卡信息”邮件。但是，如果你希望通过 IT 部门或 HR 部门的名义发送模拟钓鱼攻击，务必要与相关部门同事事先讨论，以避免不必要的误解和恐慌。

Step 4：启动网络钓鱼模拟测试

你应该定期发送新的网络钓鱼电子邮件，例如至少每月发送一次，并随着时间推移，逐步增加识别模拟钓鱼邮件的难度。例如可以混合你的企业电子邮件风格、攻击载体和技术，在企业顶级事件和季节性（发薪日、假期）事件时发起新的挑起威胁。

Step 5：审查进度并实施针对性培训

随着时间的推移，你将清楚地了解哪些员工易受网络钓鱼电子邮件的影响，以及为这些员工提供更多的安全意识培训和评估。除此之外，你可能需要为特定的部门或团队（例如财务部门、人力资源部门及公司高管）制订必要的培训计划。

尤其是屡次失败的员工，必须要提出特别的警告，因为他们将公司置于极度危险之中。

精心策划、不断更新、持续不断的模拟网络钓鱼，可以非常有效地使你的员工抵御真正的网络钓鱼攻击。它就像疫苗一样，用以培训员工识别和挫败未来的真正攻击。

防范建议3：开展用户安全意识培训

如今，安全威胁的一大趋势是：越来越多的网络攻击和黑客入侵开始从个人目标着手，另一方面随着云计算和移动技术的普及，企业的安全边界消失，传统安全技术失灵，企业安全越来越依赖员工个人的信息安全意识（素养）。

来自 Gartner 的报告指出，在新的安全威胁面前，新的企业信息安全策略需要“以人为中心”（People-Centric Security）。员工安全意识培训在企业信息安全管理中的意义越来越重大，已经成为众多企业信息安全防护不可或缺的环节，而不是像过去那样仅仅是为了合规。

通过开展用户安全意识培训，提醒所有用户：

不要打开来历不明的邮件

不要随便点击邮件中的陌生链接

禁止发送与工作无关的邮件、含有违反政策和法律法规的内容的邮件、含有不利于公司的信息的邮件、连环邮件或附带大量非工作需要的图片文件的邮件、夹带计算机病毒的邮件、含有敏感信息和商业机密的邮件等

如果遇到可疑的电子邮件，务必设置为垃圾邮件进行阻止，并立即删除该邮件

如果遇到刻意的电子邮件，一定要向企业 IT 人员或信息安全管理员提交报告，并向 IT 建议广而告之

千万不要对可疑电子邮件中的内容存有好奇心

写在最后

其实，网络钓鱼攻击打击的，就是每个人的好奇心和贪图欲。试想一下，如果从来没有花过2块钱买彩票，你怎么可能会收到中了500万电子邮件领奖通知呢？天上掉馅饼的事情可能会有，但是大概率不会砸到自己头上。

任何的好奇心和贪图欲，都有可能会影响每个人的理智判断，从而造成不可追回的信誉损失、甚至经济损失。大千世界，无奇不有，但我们真的不必太好奇。

总结：以上内容就是对于什么是电子邮件地址,的详细介绍，文章内容部分转载自互联网，希望对您了解什么是电子邮件地址有帮助和参考的价值。