[Cybersec Wednesday]提防社交工程攻击，加强网络安全意识

香港互联网注册管理有限公司

香港互联网注册管理有限公司官方帐号

2023-04-27 09:09 HKT

阅讀更多

企业专栏

內容

关于数据安全，我们通常会强调系统和网络安全，注重系统和网络设备的安全设置。然而，提防社交工程(Social Engineering)攻击也很重要。社交工程是使用心理操纵来诱骗电脑用户犯安全错误，最终导致泄露敏感数据。这种非技术手段往往非常有效，而且攻击方式繁多，社交工程已是机构网络安全最大的威胁之一。要保护机构免受社交工程攻击，员工的网络安全意识十分重要。正如电话诈骗一样，如对社交工程攻击手段有一定认识，有助减低中伏的风险。以下是一些常见的社交工程攻击：

钓鱼攻击
钓鱼攻击是一类常见的攻击手段。攻击者一般会利用电邮、电话短讯等，假装来自各种机构和人物，例如，银行、商业合作伙伴、上司、朋友等等，内容通常带有紧急性、威吓性，或是利诱，促使收件人点击恶意网站连结或是打开恶意软件，达到窃取敏感资料的目的。
恐吓软件
网络攻击者可以利用电邮诱骗收件人相信他们的系统、网络、电邮信箱已经被病毒感染，或者被入侵，甚至个人资料已经被网络攻击者掌控，从而诱使收件人跟随网络攻击者的指示，例如下载隐藏病毒的软件，点击恶意网站连结，甚至缴付赎金以取回电脑控制权等等。
垃圾邮件
相信大家都曾经接收过垃圾邮件，当中的内容可能吸引你的注意。可是，大家要小心垃圾邮件上的连结和附件，因为它们可能含有恶意程式，可能引致你的电脑被入侵，个人及机构资料被外泄。

保护措施

要避免受社交工程攻击，我们应该

1）避免点击或打开来历不明电邮或其他信息的连结、按钮、附件等等。

2）考虑采用多因素认证（Multi-factor Authentication）来登入系统。

3）安装防毒软件，减少被恶意软件入侵的机会。

4）定期进行数据备份。为防网络攻击者通过网络把数据（包括备份）加密，我们应考虑准备离线数据备份，加强保护。

5）加强机构员工网络安全意识，避免轻易相信来历不明的信息，如有怀疑，可以考虑经另一渠道进行身份核实。

当然，要中小企制定网络安全意识培训是很困难的，尤其培训由HR部门主导并不具太多技术知识去衡量培训内容。有见及此，HKIRC推出了免费的网络安全员工培训平台（Cybersec Training Hub），旨在降低机构向员工提供网络安全培训的门槛。

如何开始Cybersec Training Hub网络安全培训