我们应当从最近四次安全事故中吸取哪些经验教训

3.借简历附件进行网络钓鱼

这种堪称巧妙的攻击手段可以融入许多变化，但其本质方式就是向某位雇员发送包含恶意内容的简历压缩文件。员工在开启该文件的同时，被触发的恶意应用即会对当前设备的硬盘乃至各共享式网络驱动器进行加密。黑客随后会要求受害者支付数额不等的款项以移除恶意软件并恢复各磁盘驱动器。就在不久之前，有攻击者锁定了新闻发布稿当中的财务信息……而后借此进行敲诈勒索。

此类案例当中最令人发指的就是去年澳大利亚某媒体新闻频道遭黑客利用Cryptolocker入侵，对方要求媒体方面支付赎金以解锁数据。在大多数情况下，支付的资金必须以无法追踪的比特币作为载体。

KnowBe4公司的Sjouwerman表示，这类欺诈活动的可怕之处在于其成功率相当高。在该公司组织的测试当中，某家银行约有六成左右员工打开了邮件当中发来的简历附件。他强调称，目前大部分攻击活动都会使用虚构的女性求职者姓名。

IBM公司的Barlow指出，应对钓鱼攻击的终极手段就是帮助员工培养起良好的安全意识。新型攻击方式总在不断出现，而安全培训应该将钓鱼测试纳入其中，帮助员工在高危情况下作出正确选择(例如不要点击可疑链接或者不要回复任何内容)。如果员工未能通过测试，那么相关企业需要组织有针对性的指导流程。

4. CEO转账欺诈活动

这最后一种安全隐患确实极具破坏性，因为它针对的是大型企业中的高管团队。这类恶意活动基本可划归为社交工程：犯罪分子首先取得高管成员的电子邮箱访问权限，例如通过暴力破解方式获取密码或者运行密码生成器。他们会利用高管的账户要求财会部门进行资金转移。之所以成功率极高，是因为财会部门会下意识地认为来自高层管理者的邮件不存在问题。

KnowBe4公司的Sjouwerman指出，国际杂志出版商Bonnier Group就曾经遭遇过此类攻击活动，而且转账金额至少达到150万美元。攻击者利用前任CEO David Freygang的电子邮箱发出了一条紧急且需要保密的资金转移要求。而就在最近，知名一夜情网站Ashley Madison也遇到了同类攻击，但有所区别的是这次其要求获取客户的详细个人信息。