5月25日，某知名互聯網公司 #員工遭遇工資補助詐騙# 的新聞沖上微博熱搜。隨后該公司發表聲明，稱事件起因是其內部員工使用郵件時遭遇釣魚攻擊導致密碼泄露，之后黑客冒充公司財務部下發虛假“工資補助通知”，以此盜取了部分員工的銀行賬戶。

所謂“傷害不大，侮辱性極強”，互聯網大廠居然會在郵件安全上“塌房”，意不意外？

實際上，釣魚攻擊憑借其“成本低、范圍廣、高隱蔽”的特點在網絡中呈多發態勢，針對企業內網的釣魚攻擊也不在少數。對此，建議企業采取以下措施防范釣魚攻擊：

① 定期檢查內部登錄模式

② 強制員工設置復雜密碼

③ 開通安全認證

④ 教育員工在日常工作中提高防范意識

針對這類情況，中國金融認證中心（CFCA）為企業提供以下“攻防結合”的防范措施，多維助力企業應對、排除釣魚攻擊風險：

HTTPS加密認證

釣魚攻擊多采用偽造網站和域名騙取受害者信息。HTTPS的DV證書僅對域名進行校驗且自動簽發。而OV證書或者EV證書會對企業網站域名及企業信息進行雙重驗證，同時增加了人工審核環節。OV證書和EV證書中也包含了企業信息，用戶可以在證書中了解到相關的情況，有助于辨識網站的真實性。

釣魚演練

釣魚攻擊主要是對人攻擊，因此在企業內部開展有針對性的網絡釣魚模擬攻擊對于防范釣魚攻擊有著顯著作用。CFCA的釣魚演練，以增強員工的防范意識為目標，通過向員工發送釣魚郵件、短信、Wi-Fi、U盤等典型的釣魚攻擊培訓樣本，模擬真實的釣魚攻擊演練。從而培訓員工如何識別、處置、防范釣魚攻擊，保護企業的網絡空間安全。

對于企業來講，除了防范釣魚攻擊之外，保障企業數字安全還有許多工作要做。一般來說，企業信息安全體系建設包括兩個核心部分：一個是安全技術，另一個是安全管理。兩者相輔相成，缺一不可。

CFCA作為信息安全服務供應商，既可以為企業提供一站式安全服務，包括等保測評、滲透測試、代碼審計、App安全測試以及App安全加固服務等，從技術層面為企業筑牢信息安全防線；又可以基于制度、架構、管理層面為企業提供全面的安全咨詢服務，從管理層面為企業排除各類安全隱患。多管齊下，為企業信息安全保駕護航。

責任編輯：韓希宇