最近,公司的网络安全部门肯定头都大了。全球企业被网络攻击的次数,一直在往上蹿。这已经不是什么新鲜事了。Arctic Wolf公司最新的报告说,2025年,全球网络攻击事件越来越多。有68%的IT主管承认,他们公司在过去一年里至少出过一次安全事故。这比去年又多了8个点。而且,那些被攻击了五次以上的公司,数量也在增加。这说明,敌人越来越活跃,我们这里却防不胜防。
老实说,在这些攻击里,人才是最关键的漏洞。业内都说,差不多六成的安全事故都跟人有关。而且,在这些“人为风险”里面,网络钓鱼还是最管用的办法之一。你可能觉得这招老土,但是它一直在变,一直在升级。
钓鱼攻击升级:从乱撒网到盯死你
以前的钓鱼邮件,特别好认。那些邮件错别字一大堆,内容也很假。我们一看就知道是骗子。
但是,现在的钓鱼攻击完全不是那样了。攻击者变得很狡猾。他们懂人性。他们会收集你的公开信息。甚至还用上人工智能(AI)来帮你写邮件。所以,他们不再胡乱发邮件了。他们会根据你,或者你的公司,专门设计一个骗局。这就叫**“精准打击”**。
报告里提了“Scattered Spider”这个黑客团伙。他们就是这样干的。他们不是搞什么高科技。只是发个诈骗短信(Smishing),或者骗你输入账号密码。结果,连MGM Resorts、英国的Harrods百货这种大公司,都被他们搞定了。这多吓人!他们是怎么进去的?可能就是员工不小心点了个链接。或者,他们的手机卡被复制了。一旦他们有了个落脚点,他们就会在公司内部乱窜。最后,他们就能控制你的核心系统。
而且,公司高管是他们最喜欢盯上的目标。报告显示,39%的高管在过去一年里,都被明确地钓鱼攻击过。还有35%的高管,有人尝试骗他们下载恶意软件。为什么盯着他们?因为这些高管的权限最高。他们能看到最重要的数据。他们一旦出事,整个公司都会面临大麻烦。这比普通员工的账号被盗,后果要严重得多。
**商业邮件欺诈(BEC)**就是这种“精准打击”的结果。报告里说,钓鱼邮件和之前泄露的账号密码,是导致BEC事件的两个主要原因。这就像小偷不是直接破门而入。他们先是骗你把钥匙交出来,或者找到了你以前掉的备用钥匙。
我们为啥总觉得“没问题”?
很奇怪的是,攻击越来越频繁,我们这些防御者,心态却出了问题。
报告里有一个数据,真的让人觉得矛盾。65%的IT主管承认,他们自己也点过可疑链接。这说明他们知道钓鱼邮件的风险。但是,76%的人却坚信“自己的公司不会中招”。这是一种很危险的过度自信。就像你明明知道感冒会传染,却觉得别人感冒没事,自己肯定没事。这种心理会让我们放松警惕。
这种“我不会中招”的想法,在有些地方特别明显。比如,澳大利亚和新西兰。过去一年,他们的安全事件数量增加了39%。但是,当地IT主管对反钓鱼的信心却高达84%。这太不符合现实了。想法跟现实差这么远,公司在安全上的投入肯定就不够。等到真出事,就会手忙脚乱。
我们很多公司都做钓鱼模拟演练。91%的公司都做过。甚至有三分之一的公司,每个月都做。但效果好吗?一点都不好。87%的IT主管说,员工在演练里还是会点钓鱼链接。这个比例比去年还高。而且,差不多一半(49%)的员工认为,这些演练“没什么用”。他们觉得这只是走个过场。演练如果不能让人真正学到东西,那不就是浪费时间吗?
措施明明有,为啥还是防不住?
问题不光是想法上的,还有实际操作上的。
多因素认证(MFA)这个东西,大家都知道好。它能很好地防止账号被盗。但是,只有54%的公司,给所有员工都强制开了MFA。剩下的公司怎么做?38%的公司,只给主管或者高管账号开了MFA。其他人的账号就随便了。这样,攻击者只需要搞定一个普通员工的账号,就能轻松进来。报告里说,2024年被大攻击的公司里,56%的公司就没有部署MFA。这就好比你家有道防盗门,但只给主卧室装了,客厅和厨房的门却大开着。
更让人担心的是,公司内部的人,有时还会主动削弱安全防护。超过一半(51%)的IT主管承认,他们为了“提高工作效率”,曾经暂时关闭过安全功能。这真的很要命。这种行为,不仅制造了技术漏洞。它还在公司里传递一个错误信号:安全,是可以打折扣的。如果老板都这么做,员工们怎么会把安全当回事呢?
员工们是怎么做的?他们也想绕过安全检查。试图绕过安全控制的员工比例,从去年的12%一下涨到了32%。他们觉得安全措施很麻烦,影响他们工作。当安全防护变成了一种负担,而不是一种保护时,再严密的技术防线,也变得没用了。员工会想方设法绕开它。
别再吓唬员工了,那样没人会说实话
当员工不小心“中招”了,很多公司还是只会怪罪。报告显示,77%的IT主管说,他们会考虑开除那些中了钓鱼圈套的员工。这个比例比去年又高了。
但是,这种做法真的有用吗?我不觉得。真正有效的做法,应该是改正错误,而不是惩罚人。比如,如果一个员工不小心点了钓鱼链接,公司应该调整他的系统权限。然后,给他加强培训。在那些这样做的公司里,88%的主管认为效果很好。这说明,帮助员工学习,比惩罚他们更有效。
这种“惩罚文化”,会让员工不敢说实话。如果他们发现一封可疑邮件,但又怕被骂、被开除,他们会怎么办?他们很可能就会选择不说。他们会把问题藏起来。这样,安全团队就失去了提前知道危险的机会。一个小问题,就会因为大家的沉默,变成一个大事故。最后,公司付出的代价,要比给员工培训或者调整权限大得多。这笔账,真的划算吗?
新技术来了,新麻烦也来了
AI技术现在很火,但这东西也是双刃剑。生成式AI的普及,给钓鱼攻击带来了新的变化。攻击者能用AI很快写出语法正确、语气逼真的钓鱼邮件。他们甚至能模仿公司高管的说话风格。这样,我们更难分辨真假了。
而且,员工使用AI工具,也带来了数据泄露的风险。报告说,60%的IT主管和41%的普通员工,把公司机密信息输入过ChatGPT这类公共AI平台。他们可能不是故意的,只是觉得方便。但是,公司没有给他们明确的AI使用规定。当新工具被广泛使用时,如果没有配套的安全规定,就会出现新的安全漏洞。所以,我们现在需要尽快制定AI使用规则。
回到最根本的:安全没捷径
面对钓鱼威胁,很多公司总想找什么“神奇”的技术。他们觉得,只要用上最厉害的设备,就能解决所有问题。但是,报告一次又一次地强调:最管用的防护,往往是那些最基本的事情。那些我们觉得没什么了不起的小细节。
这些“基本功”到底是什么?
- 多因素认证(MFA),必须所有人都要用。不要因为谁的职位高,或者图省事,就给他们特殊待遇。
- 安全规定要跟工作流程结合起来。别让员工觉得安全措施是拦路虎,让他们没法正常工作。
- 演练要像真的攻击一样。别用那种老套的、一眼就能看穿的测试内容。攻击者可不会按套路出牌。
- 报告机制要鼓励大家说实话。不要因为员工犯了错就惩罚他们。要鼓励他们及时报告问题。
- 领导要带头做好榜样。他们对安全的态度,直接影响所有员工。如果领导自己都偷懒,那下面的员工更不会把安全当回事。
说到底,网络钓鱼,其实就是抓住人性的弱点。技术可以帮我们过滤邮件,识别链接。但是,它不能代替人去判断。而人的判断力从哪里来?它不是天生的。它需要持续的培训。它需要公司有合理的制度。它需要有一种健康、积极的公司文化来支撑。
现在的网络攻防,情况很明显:攻击者一点都没闲着,一直在升级。但是,我们有些防御者却在放松。这份报告最重要的一点,就是要提醒我们:在这场网络安全的长期战斗中,最危险的,不是那些我们还不知道的漏洞,而是那些我们明明知道,却没认真对待的风险。大家真的要上心了。
