威瑞森《2017數(shù)據(jù)泄露調(diào)查報告》中稱，網(wǎng)絡(luò)釣魚攻擊是去年最常見的攻擊方式，且此類攻擊并未見緩。公司企業(yè)紛紛加緊防護(hù)工作，教育員工分辨網(wǎng)絡(luò)釣魚攻擊的種種指標(biāo)特征。然而，攻擊者和社會工程師也在實(shí)現(xiàn)更復(fù)雜精妙的突破方法，找尋企業(yè)中那些明顯目標(biāo)之外的下手對象。

Barracuda Networks內(nèi)容安全服務(wù)副總裁阿薩夫·塞登，分享了他在攻擊者針對不同業(yè)務(wù)部門的方法，以及員工被網(wǎng)絡(luò)釣魚風(fēng)險值方面的一些洞見。

1. 財務(wù)部門

財務(wù)部門是網(wǎng)絡(luò)釣魚攻擊最主要目標(biāo)一點(diǎn)兒不令人意外，畢竟財務(wù)部門是資金的看門人。攻擊者會冒充高管或其他雇員，要求財務(wù)進(jìn)行相當(dāng)緊急的轉(zhuǎn)賬。通過社會工程和誤植域名之類的技術(shù)，攻擊者可以很容易地欺騙財務(wù)部門，讓他們以為這些匯款要求是合法的，且必須立即響應(yīng)。

誤植域名，或者說“網(wǎng)絡(luò)蟑螂”，類似于域名劫持，就是注冊與著名網(wǎng)站非常相似的域名，并模仿原始域名的頁面風(fēng)格，寄希望于用戶手誤敲錯域名字母時仍會點(diǎn)擊進(jìn)入虛假域名的一種操作（這種情況的發(fā)生概率還真不低）。

2. 人力資源部

無論是否在報稅季，HR員工總要面對報稅表單網(wǎng)絡(luò)釣魚攻擊的威脅。每個員工都要有報稅單，里面包含了大量個人信息，包括薪酬、姓名、身份證號、家庭住址等等。這些東西對攻擊者具有相當(dāng)大的吸引力，他們可以用這些信息盜取公民身份，或者研究這些數(shù)據(jù)用以發(fā)起更具針對性的攻擊。

3. 法務(wù)部門

公司內(nèi)部律師的職責(zé)之一，就是要推動企業(yè)并購。他們手握高度機(jī)密的財務(wù)和法律文件。而且，重大并購案的信息，不僅讓律師個人成為網(wǎng)絡(luò)釣魚攻擊者的目標(biāo)，也讓特定案子的參與各方陷入風(fēng)險之中。

4. 行政助理

行政助理事務(wù)繁雜，從安排日程表到協(xié)助重大商務(wù)會議進(jìn)程之類的工作都要負(fù)責(zé)。為了推動各項工作有序高效進(jìn)展，他們往往可以接觸到高管的憑證和個人信息。于是，行政助理就成了網(wǎng)絡(luò)釣魚者的主要目標(biāo)，以行政助理之名偽造一封郵件索要憑證，就可快速進(jìn)入公司環(huán)境為所欲為。

5. 公關(guān)部門

公關(guān)團(tuán)隊往往會拿到內(nèi)部敏感或機(jī)密信息。無論是討論即將到來的并購還是技術(shù)發(fā)布，PR團(tuán)隊都會率先收到消息，以便制定宣傳計劃。因此，網(wǎng)絡(luò)釣魚者往往會針對PR部門下手，希望能獲得交易內(nèi)幕，或者可能揭示股價變動的信息。

6. IT/工程部門

很多企業(yè)中，IT部門和工程師都能訪問公司中最敏感的信息，包括各種憑證、證書、源代碼和敏感知識產(chǎn)權(quán)。網(wǎng)絡(luò)釣魚者通常會針對該部門以獲取專利信息、公司內(nèi)部網(wǎng)絡(luò)訪問權(quán)，或者將獲取的機(jī)密信息賣給競爭企業(yè)。IT和工程部門往往有權(quán)通過公司賬戶動用大量預(yù)算，且可授權(quán)電匯轉(zhuǎn)賬。因而，他們是魚叉式網(wǎng)絡(luò)釣魚攻擊的主要目標(biāo)。

7. CEO/CFO

CEO和CFO是極具吸引力的目標(biāo)，主要因?yàn)樗麄儗γ舾行畔⒌脑L問權(quán)限級別很高，且有能力繞過安全措施對敏感信息授予訪問權(quán)。針對高管的“釣鯨”攻擊，往往以法院傳票或客戶投訴，并要求“快速處理”某嚴(yán)重問題的形式出現(xiàn)。對攻擊者而言，釣鯨攻擊利潤最為豐厚，首席級高管面臨的日常風(fēng)險最大。