网络钓鱼已成全球企业的主要威胁。

网络钓鱼，是发送非法电子邮件引诱终端用户做出响应的一种操作——无论用户的响应是点击可致恶意软件感染的链接，还是拱手交出平时不太可能告诉别人的口令之类敏感信息。

令人毛骨悚然的是，所有迹象都表明，网络钓鱼攻击越来越普遍了。Webroot表示，每个月都有近150万个新的网络钓鱼登录页面被创建。为什么网络钓鱼如此流行？原因有以下几点：

首先，这种操作成本非常低。发送电子邮件基本上是免费的，只需要花点时间编写下内容即可。不仅如此，电子邮件账户简直无处不在。人们通常至少有2-3个电子邮件账户，比如私人电子邮件账户、公司电子邮件账户、社交媒体账户等。这些账户可以从多台设备访问，智能手机、平板电脑，还有其他个人和公司设备都可以。

于是，想要展开网络钓鱼攻击的坏人，用一封邮件，就可以染指多台设备；而如果向同一个人的多个电子邮件账户发起网络钓鱼尝试，攻击者的战果甚至还能更丰富些。重大网络安全事件的根源，就是那小小不言的一次错误点击。

　　网络钓鱼测试是什么？

网络钓鱼测试或许是公司企业可采取的最有效网络防护措施之一了。

网络钓鱼测试，就是创建一封虚假网络钓鱼邮件，然后发送给指定用户组。用户收到该邮件时，可以像平时对待普通邮件那样处理。但当他们点击了邮件中的链接，就会被重定向到某种形式的登录页面。

取决于测试的目标，该页面可以是常见的“404错误”网页(如果你不希望用户知道自己在被测试的话)，也可以是网络钓鱼和其他安全威胁的普及教育页面，帮助员工树立起更强的安全意识。有关该邮件的数据，比如谁收到了邮件、谁点击了里面的链接等等，也同时被收集起来用以后续分析。

通常，公司管理层会与IT顾问一起审阅测试结果，讨论怎样提升安全意识，或者，有必要的话，打造更健壮的安全态势。

　　为从网络钓鱼测试中收获更多价值，最好每年多进行几次测试，定期向用户发送不同类型的电子邮件。这些邮件的内容应多种多样，且因受众而异。

比如说，医疗系统中工作的员工，就应该至少接受一次看起来与医疗行业问题相关的网络钓鱼测试。基本上，要夯实安全意识，就得让这些测试更具欺骗性。换句话说，如果你能教会用户识别没那么容易认出的虚假网络钓鱼邮件，他们就更有可能避免被真实攻击钓上。

另外，建议区分用户，因材施教。对在识别网络钓鱼邮件上有困难的用户，增加额外的定制培训。某些用户在网络钓鱼测试中接受经验教训很快，初始测试过后就大幅降低了钓鱼链接点击率，但有些用户难免会困难些。

这种有区别的处理方式，可以让防骗教育接受有困难的用户，在将来树立起更好的安全意识，降低他们的风险。

　　我的公司也需要进行网络钓鱼测试？

大多数情况下，是的——你的公司需要这么做。不仅仅是某些合规标准要求安全意识培训，有时候甚至特别指定了网络钓鱼测试；而且大多数员工并未准备好应对及识别网络钓鱼，也是个非常明显的外部威胁。

网络钓鱼诈骗瞄准的是终端用户的疏忽大意，鉴于此攻击的广泛性，某人防范意识缺乏而掉坑造成严重影响的情况，真的仅仅是个概率问题。只要你指望自己的员工经常通过电子邮件来做业务，你就能感受到这一威胁给你的公司风险管理带来的巨大挑战。

一次重大网络安全事件，比如勒索软件攻击，给公司带来的损失，远比受控网络钓鱼测试和网络安全意识培训项目的开销要大得多。

(责任编辑：安博涛)