📩 "下午好,文件已经商定。请到下面链接的门户网站下载"。
我们每个人都可能在工作电子邮件中收到此类内容的信息:它可能来自真正的员工,也可能来自公司的信息安全服务部门,该部门决定对您进行检查,并从一个看起来与合法域名非常相似的假域名上发送了一封电子邮件😏。
例如,银行会为此类网络演习注册与竞争对手名称相似的域名,以使电子邮件看起来尽可能可信。
🖥 我们 Positive Technologies 还在内部或应组织要求开展此类项目,以评估员工对网络安全问题的认识。
💬 Positive Technologies 渗透测试部门 Red Team SE 小组负责人 Konstantin Polishin 说: "作为此类测试的一部分,我们尝试克隆企业内部网络应用程序和门户网站,这些网站可能是员工在日常工作活动中经常看到的。熟悉的网站设计和功能能激发更多的信任,从而在网站上进行正确的操作并取得正确的结果"。
👋阅读下文,了解公司使用哪些方法来测试员工对网络钓鱼的反应。不要上骗子的当!
有针对性的网络钓鱼 (Spear Phishing)
使用针对特定员工兴趣和活动的脚本,针对特定员工群体实施的攻击。
Vishing
利用电话执行网络钓鱼脚本,以增加员工的信任度。
Smishing
从服务或应用程序发送看似合法的短信攻击。
通过聊天工具进行网络钓鱼
利用普通信使进行网络钓鱼攻击,创建假冒真实员工或组织高级人员的配置文件。
内部网络钓鱼(Internal Phishing)
从真实员工的邮件中发送钓鱼邮件,或将钓鱼邮件嵌入员工当前的邮件往来中,让他们转发或请求转发。
@PositiveTechnologies
![[C++]初识继承](https://img-blog.csdnimg.cn/direct/21521de287fe4f23bf2f0abafd1d8345.png)
