网络安全始于你：从网络钓鱼、勒索软件和真实错误中汲取教训

在这个网络安全意识月，看看真实的网络钓鱼和勒索软件攻击如何揭示每位员工在防护中都扮演着重要角色。

想象一下：你打开收件箱，看到CEO发来的紧急邮件，要求你立即汇款。看起来非常真实——Logo、语气、甚至签名行都完全正确。

但问题是：你的CEO从未发送过这封邮件。

这种骗局是世界上最昂贵的网络犯罪之一。犯罪分子不是入侵网络，而是冒充可信的同事或合作伙伴，然后施压员工汇款、共享凭证或打开恶意链接。FBI报告称，这类骗局每年造成数十亿美元损失，它们之所以成功，是因为利用了人类的信任。

虽然IT团队安装防火墙并监控网络，但事实很简单：员工既是最大的安全风险，也是最强大的防御力量。我们的每次点击、每个密码、每个决定都决定着是业务如常还是代价高昂的数据泄露。

“随着网络安全预算的减少和攻击的增加，网络安全已成为每个人的责任，从CEO到清洁工再到会计团队，“TechnologyAdvice的首席网络安全专家Ken Underhill表示，“每个人都可以帮助保护自己的组织。”

《创智赢家》明星：“我拿不回我的钱了”

你以为自己永远不会上当受骗？Barbara Corcoran也曾这么想。

2020年，这位《创智赢家》投资人和房地产大亨损失了近40万美元，原因是她的簿记员收到了一封看似常规的发票邮件。这封邮件似乎来自Corcoran的助理，授权支付房产翻新费用。

问题在于？发件人地址错了一个字符——这个细节很容易被忽略。簿记员相信请求是合法的，批准了转账，直到与真正的助理核对并发现差异后才意识到真相。

“没人注意到的细节是，我助理的电子邮件地址拼错了一个字母，变成了骗子设置的假邮箱地址，“Corcoran告诉《人物》杂志，“骗子消失了，我被告知这是常见做法，我拿不回这笔钱了。”

Colonial Pipeline关闭和Barbara Corcoran的40万美元损失可能感觉像是极端案例。但事实是，各种规模的攻击往往都以相同的方式开始：通过一名员工、一个收件箱和一个决定。

网络犯罪分子深知这一点。当他们可以智取人类时，就不需要智取复杂系统。对恶意链接的单一点击可以绕过价值数百万美元的安全软件，使员工成为公司数据的真正守门人。

员工无意中为攻击者打开大门的最常见方式：

自2020年以来，远程和混合办公重塑了美国工作场所。

根据美国劳工统计局的数据，截至2024年第一季度，约23%的员工在家工作获取报酬。许多雇主已使灵活安排成为永久性政策，给员工更多自由。

然而，这种安排也为网络犯罪分子提供了比以往更广泛的攻击面。

最显著的弱点之一在于家庭网络。研究表明，每16个家庭Wi-Fi路由器中就有1个仍可使用默认密码访问，这是犯罪分子主动扫描的漏洞。一旦进入，他们可以转向个人设备、公司账户，甚至敏感的公司系统。

而这只是开始。在安全办公室环境外工作引入了一系列风险：

Philip Murray在网络安全领域工作多年。他了解风险。他训练过他人如何识别风险。然而在2019年，他陷入了一个网络钓鱼骗局，损失了数百英镑的亚马逊代金券。

Murray刚成为新爸爸，睡眠不足。一天下午，他收到一封似乎来自老板的邮件，要求他为客户项目秘密购买礼品卡。感觉有点奇怪——但似乎合理。他没有质疑请求，就按照指示购买了代金券并发送了代码。

到第二天早上，经过更清晰的睡眠后，他意识到信息并非来自老板。钱已经没了。

正如Murray后来在LinkedIn帖子中承认：“我很尴尬，因为我的工作是帮助人们避免这种情况，而我却完全上当了。在我所有的朋友和家人中，我是最不应该上当的人。”

Corcoran的簿记员。Murray和他的亚马逊代金券。甚至Colonial Pipeline。所有这些故事都证明了同一点：网络攻击不是从代码开始的……它们是从人开始的。

仅靠技术是不够的。防火墙、防病毒软件、入侵检测系统和加密都是重要的防御层，但它们都无法阻止分心的员工点击恶意链接或批准欺诈请求。这一责任落在我们所有人身上。

好消息是：员工并非无助。每次点击前的停顿、每个更新的密码、每个报告的可疑信息都加强了保护企业免于崩溃的"人类防火墙”。一个人的警惕可以防止数百万美元的灾难。

以下是员工的一些关键要点：

“技术可以每天阻止数百万个威胁，但只需一个员工的错误就能让攻击者进入，“Underhill说，“人类层面的意识和警惕才是改变平衡的关键。”

所以下次当电子邮件感觉不对劲时，请记住：你在那一刻的选择可能决定是平常的工作日还是成为头条新闻。