網絡罪犯以進行大規模攻擊聞名，他們襲擊盡可能多的無辜受害者。基本上，每個人都收到過來自尼日利亞王子、外國銀行家或某個絕癥富婆的電子郵件，承諾你只需舉手之勞就有豐厚回報。網絡釣魚郵件簡直創意無限，甚至還有承諾駐顏丹和愛情生活滋潤的。當然，要實現這些，你只需要交出你的信用卡即可。

最近一段時間，網絡罪犯的攻擊更傾向于“企業級”。類似B2B銷售模式，他們盯上精選目標，意圖以極度個性化的復雜技術，獲得指數級的有效載荷。這種被稱為魚叉式網絡釣魚的針對性攻擊，會冒充公司雇員、同事、你的簽約銀行或流行網站服務，對受害者行漏洞利用活動。魚叉式網絡釣魚一直在穩步上升。據FBI透露，這類社會工程方法已被證明是極為有利可圖的。更糟糕的是，魚叉式網絡釣魚神出鬼沒，用傳統安全解決方案難以防止。

社會工程最新的進化發展，涉及到多個預設步驟。網絡罪犯是狩獵受害者，而不是突兀地給目標公司高管發送電匯欺詐郵件。他們會先從管理員郵件賬戶或低級員工，滲透進目標公司，然后開展偵察，等待最恰當的時機再從被黑郵件賬戶向高管發出誘騙郵件。

此類魚叉式網絡釣魚攻擊中常用的步驟如下，阻止攻擊者的解決方案也一并奉上。

攻擊步驟 1：滲透

大多數網絡釣魚嘗試，只要經過網絡安全培訓的人（高管和IT團隊等），都可以一眼看出。這些郵件的地址往往很奇怪，要求很大膽，且遍布語法錯誤，通常都是一刪了之。然而，特別難以識別的個性化攻擊最近有了明顯增加，尤其是那些沒有經過培訓的人，通常都會上鉤。

很多時候，此類攻擊的唯一缺陷，就是當你鼠標懸停到郵件中惡意鏈接之上時，會顯示出真實的惡意地址。經過良好培訓的人可以發現這一缺陷，但普通員工不行。

為什么網絡罪犯會首先找尋容易下手的目標，原因正在于此。中層銷售、市場營銷、客戶支持和運營團隊成員，就是最普遍的目標。該初始攻擊，旨在盜取用戶名和口令。攻擊者一旦操控了中層人員，只要這些人沒啟用多因子身份驗證（很多企業都沒開啟），他們就能登錄賬戶。

攻擊步驟 2：偵察

這一階段，網絡罪犯一般會監視被盜賬戶，研究其中郵件往來，收集該公司運作機制。大多數時候，攻擊者會設置該賬戶的轉發規則，防止頻繁登錄。對受害者郵件流量的分析，可使攻擊者更加了解該公司情況：誰決策，誰負責或影響財務交易，拿到人力資源信息等等。這一步也為攻擊者打開了監視受害公司與合作伙伴、客戶和供應商之間通信的大門。

這一步獲取到的信息，會被用于魚叉式網絡釣魚攻擊的最后一步。

攻擊步驟 3：抽取價值

網絡罪犯利用上一步監聽到的信息，發起針對性極強的魚叉式網絡釣魚攻擊。他們通常會在客戶正準備支付的時候，發出虛假銀行賬戶信息，還會誘騙雇員發送人力資源信息、匯款，或指示受害者點擊惡意鏈接來收集額外的憑證和口令。由于發自合法（也就是被黑）賬戶，比如某同事的郵箱，這些郵件看起來很正常。前期偵察過程，也讓攻擊者可以精確模仿發家的語氣和文風。

于是，你該怎樣防住攻擊者？

謝天謝地，公司企業還有一些新希望和耳熟能詳的方法，可以用來挫敗網絡罪犯的陰謀——多層防御策略。

魚叉式網絡釣魚的末路

對抗魚叉式網絡釣魚，公司企業應做到以下3點。兩個甚為明顯的方面，是用戶意識及培訓，還有多因子身份驗證。最后一個，也是攔截此類攻擊的最新技術，是實時分析與人工智能。人工智能為終結當今魚叉式網絡釣魚提供了最強的希望。

防御策略1. AI防護

用人工智能抵擋魚叉式網絡釣魚聽起來有點科幻，遙不可及，但實際上當前市場已有此類產品，各種規模的企業都可用，因為每家公司都是潛在目標。

AI可以學習并分析給定公司特有的通信模式，標記不符合基線的行為。AI的本質，在于會隨著時間流逝變得更強大、更聰明、更有效，可實時隔離攻擊，并識別出企業內高風險人員。

比如說，AI可自動分類攻擊第一階段中的郵件，將之標記為魚叉式網絡釣魚，甚至能檢測出被黑賬戶中的異常活動，從而封阻掉第2和第3步攻擊。AI還可以阻止域名欺騙和授權行為，以防攻擊者冒充公司員工欺騙客戶、合作伙伴和供應商以盜取憑證，染指他們的賬戶。

防御策略2. 身份驗證

公司企業絕對有必要實現多因子身份驗證(MFA)。上述攻擊中，如果多因子身份驗證啟用，罪犯就無法登錄賬戶。用于多因子身份驗證的有效方法很多，包括短信驗證碼或手機呼叫、加密狗、生物特征識別指紋、視網膜掃描，甚至人臉識別。

防御策略3. 針對性用戶培訓

雇員應接受經常性的培訓和測試，增加他們對最新最常見攻擊的認知。安排出于訓練目的的模擬攻擊，是防止入侵和提升雇員警惕性的最有效方法。對負責財務交易的員工或高風險雇員，有必要對他們進行欺詐模擬測試以評估他們的安全意識。最重要的是，培訓應在全公司方位展開，而不應僅針對高管。