威瑞森《2017数据泄露调查报告》中称，网络钓鱼攻击是去年最常见的攻击方式，且此类攻击并未见缓。公司企业纷纷加紧防护工作，教育员工分辨网络钓鱼攻击的种种指标特征。然而，攻击者和社会工程师也在实现更复杂精妙的突破方法，找寻企业中那些明显目标之外的下手对象。
 

　　Barracuda Networks内容安全服务副总裁阿萨夫·塞登，分享了他在攻击者针对不同业务部门的方法，以及员工被网络钓鱼风险值方面的一些洞见。

　　1. 财务部门

　　财务部门是网络钓鱼攻击最主要目标一点儿不令人意外，毕竟财务部门是资金的看门人。攻击者会冒充高管或其他雇员，要求财务进行相当紧急的转账。通过社会工程和误植域名之类的技术，攻击者可以很容易地欺骗财务部门，让他们以为这些汇款要求是合法的，且必须立即响应。

　　误植域名，或者说“网络蟑螂”，类似于域名劫持，就是注册与著名网站非常相似的域名，并模仿原始域名的页面风格，寄希望于用户手误敲错域名字母时仍会点击进入虚假域名的一种操作(这种情况的发生概率还真不低)。

　　2. 人力资源部

　　无论是否在报税季，HR员工总要面对报税表单网络钓鱼攻击的威胁。每个员工都要有报税单，里面包含了大量个人信息，包括薪酬、姓名、身份证号、家庭住址等等。这些东西对攻击者具有相当大的吸引力，他们可以用这些信息盗取公民身份，或者研究这些数据用以发起更具针对性的攻击。

　　3. 法务部门

　　公司内部律师的职责之一，就是要推动企业并购。他们手握高度机密的财务和法律文件。而且，重大并购案的信息，不仅让律师个人成为网络钓鱼攻击者的目标，也让特定案子的参与各方陷入风险之中。

　　4. 行政助理

　　行政助理事务繁杂，从安排日程表到协助重大商务会议进程之类的工作都要负责。为了推动各项工作有序高效进展，他们往往可以接触到高管的凭证和个人信息。于是，行政助理就成了网络钓鱼者的主要目标，以行政助理之名伪造一封邮件索要凭证，就可快速进入公司环境为所欲为。

　　5. 公关部门

　　公关团队往往会拿到内部敏感或机密信息。无论是讨论即将到来的并购还是技术发布，PR团队都会率先收到消息，以便制定宣传计划。因此，网络钓鱼者往往会针对PR部门下手，希望能获得交易内幕，或者可能揭示股价变动的信息。

　　6. IT/工程部门

　　很多企业中，IT部门和工程师都能访问公司中最敏感的信息，包括各种凭证、证书、源代码和敏感知识产权。网络钓鱼者通常会针对该部门以获取专利信息、公司内部网络访问权，或者将获取的机密信息卖给竞争企业。IT和工程部门往往有权通过公司账户动用大量预算，且可授权电汇转账。因而，他们是鱼叉式网络钓鱼攻击的主要目标。

　　7. CEO/CFO

　　CEO和CFO是极具吸引力的目标，主要因为他们对敏感信息的访问权限级别很高，且有能力绕过安全措施对敏感信息授予访问权。针对高管的“钓鲸”攻击，往往以法院传票或客户投诉，并要求“快速处理”某严重问题的形式出现。对攻击者而言，钓鲸攻击利润最为丰厚，首席级高管面临的日常风险最大。

(责任编辑：宋编辑)