20年前，黑客靠找尋網絡邊界漏洞入侵公司。為阻擋黑客，安全團隊專注于鎖定邊界，創建“硬而脆”的外部，很少加強內部用戶、系統和網絡。

現代攻擊者已有所進化，轉向了更易于突破的目標，盯上了公司那“松軟可口”的內部——用戶和他們的系統。網絡釣魚——發送偽裝成合法流量的欺詐郵件的黑客行動，就是他們的主要技術。隨著時間流逝，我們開始察覺，用戶很容易被各種類型的網絡釣魚騙術蒙騙，從免費軟件到虛假網站，到郵箱里出現的來路不明的廣告。輕信的大腦不經意間就將憑證輸入到了偽造的屏幕上，會偷偷摸摸安裝系統監聽軟件、勒索軟件甚至后門的惡意鏈接也會被無意點擊。當郵件看起來像是來自朋友或公司高管，員工會很自然地信任之，進而被網絡釣魚攻擊鉤上。畢竟，誰會對自家老板說“不”呢？

此類攻擊的總損失往往都是數十億美元。利潤率太高，引無數網絡罪犯競折腰，同時也驅動了高級新工具的研發。更重要的是，黑客發現了基于用戶職能和級別各個擊破的最佳方法。預防此類損失，最終都歸結到對用戶的支持上——幫助他們塑成良好習慣，進而最終保護整個公司。

就像真正的魚一樣，不同類型的網絡釣魚受害者通常都會見識到不同的誘餌和拋餌技術。下面我們便可以觀察一下最容易成為網絡釣魚攻擊目標的幾種員工的行為模式，探討一下該如何保護他們。

1. 高管

CEO、CFO和其他高管就是最流行的網絡釣魚目標。作為高級決策者，他們可以接觸到敏感信息，也可以授權電匯之類財務支出，讓他們成為了最具吸引力的“獎杯”。那么，針對高管的網絡釣魚攻擊長什么樣子呢？通常，它們會以來自可信源的敏感信息請求的形式出現。通過將郵件地址偽裝成可信發家，攻擊者可向不太可能拒絕的其他高管提出敏感信息請求。FBI報告稱，僅過去3年，此類騙局就造成了20億美元以上的損失。

怎樣保護：為任意諸如電匯之類敏感請求增添額外的身份驗證或確認步驟。另外，鼓勵高管對社交網絡上的共享內容和聯系人做限制。

2. 行政助理

作為多任務處理大師，行政助理就是公司的無名英雄。在處理所有幕后日程安排和過濾來電的背后，他們往往擁有對公司賬戶和個人行政賬戶的訪問權。他們的事務處理前線角色和特權關系，讓攻擊者樂于將他們視為可套取到打開公司王國鑰匙的易接近目標。對助理的攻擊，常常頂著來自于另一位高管的要求的面孔，通常是要求他們看一封附件或發送財務信息。竊聽軟件，一旦在助理的系統里安裝上了，就能看到該助理需要處理的全部保密通信。

怎樣保護：為行政助理提供一套清晰的可疑郵件處理流程，確保設置有良好的垃圾郵件過濾系統。如果助理接到可疑郵件，他們應清楚該怎樣報告給IT部門(并感覺到被積極鼓勵這樣做)。

3. 銷售人員

因為總是尋求簽下大單，業務開發經理、客戶經理、內部銷售人員總是在與潛在或現有客戶聯系，或者通過電話，或者通過郵件。因此，他們非常期待收到潛在客戶的郵件，想表現得盡可能地響應及時主動。網絡釣魚者通常都能在網上找到他們的名字、電話和郵件地址，而且很確信發送的任何信息都會被打開。從此類用戶手中偷走的憑證，可使攻擊者訪問到客戶列表、定價單和機密交易信息。偷取他們的賬戶還能開啟新的網絡釣魚攻擊，目標指向信任銷售人員的財務、管理和客戶團隊。

怎樣保護：跟采購部門談談怎樣用電子郵件以外的方法傳輸發票。提醒銷售人員仔細檢查郵件中的鏈接，讓他們盡量不要打開不明來源的郵件附件。

4. 人力資源

他們的角色可能千差萬別，但人力資源人員通常都是公司里聯系最廣泛的人。由于他們經常與潛在或在職員工通信，假扮成潛在員工的網絡釣魚者便會向他們發送偽裝成簡歷的惡意負載，或者假裝是高管來套取人員信息。僅2016報稅季，便有50多家企業被騙泄露了員工的全年薪資和納稅表(W-2表)，所用誘騙方式就是通過偽裝成CEO所發請求的釣魚郵件。

怎樣保護：投資收益軟件和員工門戶可以幫助減少員工通過電子郵件發送機密文件的機會。還應提醒HR，在收到員工要求敏感信息的時候，通過電話或面談的形式進行確認。

5. 任意員工

事實真相是，大規模網絡釣魚攻擊一直都很流行。能訪問到設備的任何公司員工——從CEO到入門級助理，都有可能是網絡釣魚攻擊的目標。培訓項目和安全措施應囊括進每一個員工，甚至維護公司基礎設施運行的IT員工也應照顧到。越多人參與安全工作，越容易參與安全工作，防御攻擊就越容易成功。

怎樣預防：利用垃圾郵件過濾解決方案，以及額外的終端安全措施，可以補足反病毒防護的漏洞。設置可疑郵件響應安全策略和覆蓋全公司的備份策略，能有效減小攻擊的風險。

理解這些用戶和攻擊者可能使用的誘餌，能讓安全意識和教育更加有針對性，更有趣和有效。用戶將學會怎樣識別和忽略惡意行為，將主要風險來源摒除在外。想讓公司內部不那么柔弱可口，還需要讓公司系統能以同樣的方式識別和封鎖惡意行為，捕獲這些甚至能從最警惕的用戶眼皮底下溜進來的新攻擊。通過采取這些層次化的措施，公司企業便能恰當地防止員工咬鉤——即使身處最誘人的網絡釣魚攻擊之下。