5月25日，某知名互联网公司 #员工遭遇工资补助诈骗# 的新闻冲上微博热搜。随后该公司发表声明，称事件起因是其内部员工使用邮件时遭遇钓鱼攻击导致密码泄露，之后黑客冒充公司财务部下发虚假“工资补助通知”，以此盗取了部分员工的银行账户。

所谓“伤害不大，侮辱性极强”，互联网大厂居然会在邮件安全上“塌房”，意不意外？

实际上，钓鱼攻击凭借其“成本低、范围广、高隐蔽”的特点在网络中呈多发态势，针对企业内网的钓鱼攻击也不在少数。对此，建议企业采取以下措施防范钓鱼攻击：

① 定期检查内部登录模式

② 强制员工设置复杂密码

③ 开通安全认证

④ 教育员工在日常工作中提高防范意识

针对这类情况，中国金融认证中心（CFCA）为企业提供以下“攻防结合”的防范措施，多维助力企业应对、排除钓鱼攻击风险：

HTTPS加密认证

钓鱼攻击多采用伪造网站和域名骗取受害者信息。HTTPS的DV证书仅对域名进行校验且自动签发。而OV证书或者EV证书会对企业网站域名及企业信息进行双重验证，同时增加了人工审核环节。OV证书和EV证书中也包含了企业信息，用户可以在证书中了解到相关的情况，有助于辨识网站的真实性。

钓鱼演练

钓鱼攻击主要是对人攻击，因此在企业内部开展有针对性的网络钓鱼模拟攻击对于防范钓鱼攻击有着显著作用。CFCA的钓鱼演练，以增强员工的防范意识为目标，通过向员工发送钓鱼邮件、短信、Wi-Fi、U盘等典型的钓鱼攻击培训样本，模拟真实的钓鱼攻击演练。从而培训员工如何识别、处置、防范钓鱼攻击，保护企业的网络空间安全。

对于企业来讲，除了防范钓鱼攻击之外，保障企业数字安全还有许多工作要做。一般来说，企业信息安全体系建设包括两个核心部分：一个是安全技术，另一个是安全管理。两者相辅相成，缺一不可。

CFCA作为信息安全服务供应商，既可以为企业提供一站式安全服务，包括等保测评、渗透测试、代码审计、App安全测试以及App安全加固服务等，从技术层面为企业筑牢信息安全防线；又可以基于制度、架构、管理层面为企业提供全面的安全咨询服务，从管理层面为企业排除各类安全隐患。多管齐下，为企业信息安全保驾护航。

责任编辑：韩希宇