认为您收到了 HR 的重要文件?小心。KnowBe4 的季度网络钓鱼测试报告发现,第二季度的威胁行为者经常发现电子邮件欺骗人力资源部门得逞。在发生命运多舛的点击后,电子邮件正文和 PDF 文档中的链接是攻击的常见媒介。TechRepublic 与 KnowBe4 安全意识倡导者 Erich Kron 就网络钓鱼测试的结果以及如何保护企业免受不断发展的生成式 AI 驱动的网络钓鱼攻击进行了交谈。

来自 HR 的虚假电子邮件在社会工程诈骗名单中名列前茅

一些攻击者使用来自 HR 的虚假消息让员工相信点击链接或查看文档是紧急的。根据该报告:

  • 在所研究的与业务相关的电子邮件主题行中,有 42% 与人力资源有关。
  • 另外 30% 与 IT 有关。
  • 其中许多主题行都利用了员工在工作中的情绪,例如“您的休假请求留下了评论”或“可能的拼写错误”。

“如果你对一条短信、一个电话或一封电子邮件有强烈的情绪反应,我们需要深吸一口气,退后一步,非常批判地看待它,”克朗说。“因为这些都是社会工程攻击,而这些攻击确实会让你处于一种情绪化的状态,你会犯错误。

最近的其他攻击来自来自Microsoft或Amazon的电子邮件。

显示 KnowBe4 收集的常见、有效的网络钓鱼电子邮件实例的信息图。
KnowBe4 收集了常见、有效的网络钓鱼电子邮件实例。图片:KnowBe4

带有二维码的网络钓鱼电子邮件也欺骗了员工。与恶意链接一样,这些二维码通常出现在声称来自知名公司、人力资源或 IT 的电子邮件中。

KnowBe4首席执行官Stu Sjouwerman在8月7日的一份新闻稿中表示:“与人力资源相关的网络钓鱼电子邮件的持续增加尤其令人不安,因为它们针对的是组织信任的基础。“此外,网络钓鱼尝试中二维码的增加为这些威胁增加了另一层复杂性。”

KnowBe4 发现,医疗保健和制药行业最容易受到网络钓鱼攻击,其次是酒店、教育和保险——不同规模的组织存在一些差异。

KnowBe4 的网络钓鱼报告如何运作?

KnowBe4 从其客户和网络钓鱼报告门户收集其季度行业基准报告的信息,任何企业都可以使用。

KnowBe4 销售模拟网络钓鱼平台,对企业发起虚假网络钓鱼攻击,以测试他们的复原力。具体来说,KnowBe4 评估了人们遭受的攻击类型,以及像他们这样的培训如何使企业更安全地免受网络攻击。

这些数据来自 5400 万次模拟网络钓鱼测试,影响了全球 55,675 个组织的 1190 多万用户。

“很多时候,我们实际上会把真实的网络钓鱼攻击变成模拟的,”Kron说。“所以我们做了我们所说的消除他们的事情,因为我们知道这确实是外面正在发生的事情。

该报告衡量了“网络钓鱼倾向百分比”,这是对“可能因社会工程或网络钓鱼诈骗而堕落的员工”百分比的专有评估。经过一年的持续培训和网络钓鱼测试,平均购买力平价从34.3%下降到仅4.6%。

请参阅:网络钓鱼和鱼叉式网络钓鱼之间的区别在于攻击是广泛的还是针对特定人员设计的。

企业如何降低遭受网络钓鱼攻击的脆弱性

组织应该向员工明确表示,网络钓鱼电子邮件可能不像以前那样充满错别字或公然的金钱请求。

“生成式人工智能确实帮助了翻译和清理问题,”Kron说,“并允许他们(攻击者)扩大规模,而不会出现我们通常会看到的所有错误。

员工应该记住仔细查看 URL 和电子邮件地址。他们应该考虑一封主题行包含“紧急”一词的电子邮件是否真的是看起来的那样。

例如,“它真的来自我的老板,还是只是说他们的名字?“克朗说。

反垃圾邮件或防病毒过滤器可以捕获一些社会工程和网络钓鱼攻击,而多因素身份验证可以限制攻击者的影响力,即使受害者点击链接或扫描二维码也是如此。除了 KnowBe4,Sophos、Proofpoint、Ninjio Hoxhunt、Cofense 等公司还通过模拟攻击提供安全培训。

总体而言,请确保员工保持警惕,无论这种警惕性是否通过常规网络钓鱼测试进行测试。

“对此要有点紧张,”克朗说。