网络钓鱼攻击的防范：要点和案例剖析。

网络钓鱼攻击是一种非常犯罪手段，它利用电子邮件、即时通讯、社交网络和网站等途径来欺骗用户，从而获取用户的个人和敏感信息，这种攻击的方式非常具有隐蔽性和欺骗性，因此非常的危险。在这篇技术文章中，我们将讨论网络钓鱼攻击的防范要点和案例剖析。

一、要点

1、实施强密码政策

网络钓鱼攻击者通常是通过猜测、破解密码等方式来窃取用户的敏感信息的，因此，一个由强密码组成的账户是防范网络钓鱼攻击的重要要点之一。必须确保每个用户都知道他们的密码应该是多长、需要包含哪些字符类型，以及必须避免哪些典型的弱密码。

2、警惕陌生邮件

网络钓鱼攻击者通常会伪造一个看起来非常正常的邮件，使受害者相信邮件来源是可信的。用户必须警惕来自不同和不可信来源的邮件，特别是那些要求提供个人信息或要求用户打开附件的邮件。

3、限制对网站的访问

网络钓鱼攻击者通常会设置一个假的登录页面，用户在该页面上输入自己的用户名和密码，钓鱼攻击者就能窃取用户的信息。因此，在限制对网站的访问方面，可以采取一些措施，如仅提供https安全连接，或让用户在登录之前验证网站的真实性等。

4、实现多层身份验证

企业和个人可以实现更加复杂的身份验证，例如使用多个身份验证层。这可以包括电话呼叫，电子邮件验证，或使用令牌等。这样可以大大增强账户的安全性。

二、案例剖析

案例1：W-2钓鱼攻击事件

2016年，爱荷华州Davenport的一个救护车公司收到了来自CEO的电子邮件，要求公司的财务部门将W-2表格发送给一位律师。财务部门员工遵循了指示，但很快发现这个电子邮件不是来自他们的CEO，而是由黑客伪造的。

这种攻击方法通常被称为W-2钓鱼攻击，其目的是为了获取员工的个人身份信息，包括社会安全号码、薪资和其他私人信息。这些信息可以用于进行身份盗窃和欺诈。

所以企业应该对这些攻击进行防范，例如训练员工如何识别钓鱼邮件，强制实施强密码政策，以及在公司内部实现多层身份验证等措施。

案例2：CEO钓鱼攻击事件

2019年，病毒制药公司在CEO钓鱼攻击事件中被黑客攻击，黑客伪造了公司的CEO的电子邮件地址，向财务部门员工发送电子邮件，要求他们将大约15000美元转账到一家假冒公司的账户中去。

财务部门员工遵循了指示，但随后发现公司遭到了黑客攻击。这种CEO钓鱼攻击事件通常通过伪造CEO的电子邮件地址来欺骗员工，使他们相信这是公司内部的一项业务，并向黑客发起转账请求。

为了防止这种攻击，企业可以采取一些措施，例如增加员工的警惕性，加强对域名的验证，以及建立相应的内部流程和政策等。

总结

网络钓鱼攻击是一个非常危险的攻击方式，企业和个人必须采取相应的防范措施来保护自己和自己的敏感信息。这些措施包括实施强密码政策、警惕陌生邮件、限制对网站的访问和实现多层身份验证等。同时，企业还应该对这些攻击进行培训，以便让员工更好地识别和报告这些攻击行为。