Mini-Post: 停止模仿钓鱼者的行为

作者：Joe Basirico
发布日期：2020年8月26日
阅读时间：1分钟

防止成功钓鱼攻击有两个方面。第一个方面是关注用户；试图培训用户识别钓鱼攻击并保护自己免受此类攻击。培训很重要，但公司有责任不以模仿常见钓鱼技术的方式行事，避免让用户陷入失败。

成功钓鱼攻击的第二个方面是软件和技术方面。公司可以采用许多技术使用户更容易识别欺诈性电子邮件，并且可以在您的应用程序和网站中开发一些出色的安全功能，以帮助保护用户免受如果他们误将钓鱼电子邮件当作真实邮件所带来的损害性影响。

最优解决方案包括为用户提供清晰的消息传递和培训，以及公司明确的政策。

这意味着作为一家公司，您必须定义如何与客户沟通、通过每种媒介要求什么、向客户解释原因，并100%遵守这些政策。您应该通过向用户提供一个清晰政策的链接以及验证您发送消息的方式来支持这些选择。最后，培训您的员工理解和识别 concerned 用户，并以安全的方式帮助他们。

此外，如果您正在使用 SiteKeys，请停止。它们是一种无效的相互认证措施，并且是可用性的噩梦。

以下是一些公司做错或骗子超越常规攻击用户的示例。

• 以非常钓鱼的方式发送的有效电子邮件
• 一个卓越的多阶段钓鱼骗局
• 您会落入这个电话骗局吗？ — Krebs on Security

请订阅我们的新闻通讯。每个月我们会发送一份新闻摘要和链接到我们最近几篇文章的新闻通讯。不要错过！

另请参阅

• mini-post: 通过安全默认值和良好选择将漏洞类别减少到接近零
• 如何扩展应用程序安全程序 - 第二部分
• 如何扩展应用程序安全程序 - 第一部分
• 您有义务为隐私而战
• 建立500人的安全团队

分享与讨论

• 在 HackerNews 上讨论
• 在 Twitter 上分享

归档于
安全团队、指南、钓鱼攻击

Joe Basirico & Jason Taylor © 2023