對于公司而言，如果一名員工被黑客鎖定并發動攻擊，那么可能會將整個企業的業務置于危險之中。公司員工在哪些方面可能被黑客實施攻擊，員工們應該如何進行防護呢？界小編就來為你盤點一下。

現在，也許黑客正在測試貴公司防火墻的防守力量，尋找一個隨時可以發起攻擊所需要的一個漏洞。通常這個漏洞可能不是一個具體的“漏洞”，而是一個“人”（公司員工）。

人為的漏洞，也許只需員工下載一個不良附件，再點擊其惡意鏈接，或者給攻擊者發送一條重要信息。因此，安全不再是簡單的事，而是一個可能對公司業務產生影響的事件。

Social-Engineer公司首席運營官Michele Fincher表示：“公司需要意識到，他們的員工每天拿起電話和回覆電子郵件，實際上都是在做出影響公司業務安全的決定。但他們沒有意識到員工需要做出許多好的決定才能確保公司業務安全。”

Fincher說，只是在年度培訓課程中解決安全問題還遠遠不夠?！叭绻磕曛粚T工在安全方面培訓一次，那么員工仍然可能對企業造成安全方面的嚴重危害。”

社會工程攻擊也很難區分合法和惡意活動。過去，黑客需要更多技能才能發動攻擊?，F在，他們可能會通過社交網絡、電話和電子郵件發動攻擊。他們也可能只是進行監視而不會發動攻擊。

正如Social-Engineer公司首席執行官Chris Hadnagy說，“這些對黑客而言沒有門檻?！?/p>

以下是黑客用來定位并攻擊公司員工的七種常見方式。只有讓員工做到知己知彼，才能使他們了解自己的網絡危險以及黑客藏身何處。

一、使用社交網絡

網絡安全威脅遍及所有社交網絡，SAS（STATISTICAL ANALYSIS SYSTEM）的網絡研究和開發副總裁Bryan Harris認為，一些平臺可能比其他平臺承擔了更多的安全風險。

“LinkedIn是黑客獲取財富的最大來源之一，”他說?！笆褂蒙缃幻襟w平臺可能是把雙刃劍。一方面你可以借助它擴大你個人的知名度，對于你的職業生涯帶來幫助，但它也會增大你受到黑客攻擊的可能性?！?/p>

每個員工都可以選擇通過LinkedIn進行申請。如果他們申請成功，那么他們可能受益于其中添加的新的聯系人，不過也可能增大受到黑客網絡攻擊的機率，特別是營銷和公關部門的員工進入大型社交網絡，他們被攻擊的可能性會更高。

像LinkedIn和Twitter這樣的大型社交網絡平臺，都具有很大的社會工程風險，因為對于攻擊者而言進入門檻較低。Harris解釋說，Facebook和Snapchat也面臨這些挑戰，不過一般情況下人們不會接受他們并不熟悉的人的申求。在Twitter和LinkedIn上，人們根據彼此的興趣和專業建立聯系，利用這一點，攻擊者可以直接將看似合法但非法的消息進行發送。

二、假冒身份

我們生活在這樣一個世界，你可以通過多種方式告訴大家自己在做什么。攻擊者只需要訪問一些社交網絡，就可能將一個人的全部生活資料整合在一起。即使Facebook具有更高的安全性，但其公開的個人資料仍然提供了大量的有用信息。

Hadnagy說：“Facebook、Twitter、LinkedIn和Instagram，這些位列前四大社交網絡平臺的帳戶幾乎可以透露你的一切：家人，朋友，喜歡的餐館，音樂，興趣等。如果有人將你個人的所有這些資料整合在一起，那么你可以想象一下后果如何。”

他說，所有使用社交網絡的員工都容易遭受身份假冒，C級管理人員以及訪問個人資料的高級管理人員將面臨最大的風險。避免身份假冒的關鍵是要整個企業的人始終保持安全意識，每個人都要對這種類型的活動保持高度警惕。

PassiveTotal和RiskIQ研究員的聯合創始人Steve Ginty警告說：“大多數情況下，任何人都可以創建一個帳戶，并假冒別人?！?/p>

他提出了幾個重要問題：員工如何確認他們正在聯系的人？他們的同事有多少人與這些人有關系？這個人過去曾經被別人冒充過嗎？

同樣值得注意的是，如果有人曾經被別人冒充過，可能會在將來再次被冒充。如果員工收到身份以前被冒充的人的請求，應該花時間進行調查。

三、通過公司網站獲取信息

當然，黑客也可能在社交網絡之外搜尋潛在受害者的資料。比如你的公司網站可能會給黑客提供“幫助”。

“即使他們不知道攻擊的途徑，如果他們通過開源手段積累了大量的機會，那么他們可能會針對一家特定的公司，因為他們有更多該公司員工資料，”Ginty解釋說。

Harris補充說，許多公司在其網站上刊登了他們的領導、董事會成員以及其他員工的信息。如果攻擊者知道該公司的電子郵件模式（他們只需要一個地址就可以這樣做），那么他們就可以輕松找出公司高管的聯系信息，并將其定位到垃圾郵件中。

如果他們可以收集到領導的更多個人信息，那么他們的攻擊更容易得逞?！霸谔囟〞h或公開演講活動中的人們提供了創建社會工程和網絡釣魚電子郵件的渠道，這些郵件對最終用戶更為可信，”Ginty說。

四、電話詐騙

Fincher說，語音電話詐騙是一種危險的、便宜的、越來越常見的針對受害者的攻擊方式。她解釋說，她會經常打電話給客戶進一步了解其內部系統，以便知道在哪里發現問題。

黑客也可以做同樣的事情。黑客通常以新客戶為幌子與企業聯系，要求他們提供信息。這樣黑客就可以收集到有關企業系統和當前問題的大量信息，并利用這些信息進行詐騙。

因為這些類型的攻擊是非常難以察覺的。Hadnagy說：“如果黑客夠聰明，人們就不會知道他們針對誰進行攻擊?！坝行┰p騙電話聽起來就像一次正常的對話?！?/p>

然而，沒有經驗的黑客可能會出現紕漏，只要員工注意幾個警告標志就可以區分。有些黑客可能會在短時間內撥打太多電話來進行詐騙。之前接過詐騙電話的人可能會發出信息，使后面接聽詐騙電話的人對這樣的詐騙活動產生懷疑。

五、信任的危害

請點擊此處輸入圖片描述

如果員工隨意信任陌生人可能使企業陷入危險。通常，黑客可以強迫人們發送信息而無法識別自己，主要由于公司沒有正確的身份驗證程序，或者他們不使用它。

Fincher解釋說：“如果你用合法的電話號碼呼叫對方，人們就不會提出懷疑，因為他們認為驗證別人的身份或請求是無禮的?！?/p>

Hadnagy舉了一個例子，黑客假裝成美國國稅局的工作人員打電話，他們指稱受害人完稅太晚，并威脅要逮捕受害人。也有黑客聲稱是Microsoft支持人員，取得受害人信任并授權后開始對其電腦進行遠程訪問獲取信息。

完善的公司會給予員工適當的安全政策和指導，告訴他們如果對方要求提供進一步的信息，他們可以采取另一種方式進行對待。這也側面給員工解釋了為什么他們需要驗證對方身份，除非對方身份驗證通過，否則將不會提供進一步的信息。

六、發送電子郵件附件

黑客可能會通過威脅和網絡釣魚等詐騙手段，使得受害者防不勝防：他們會向受害者電電話介紹自己，并在電子郵件中捆綁附件，用于發起網絡釣魚攻擊。

請點擊此處輸入圖片描述

這樣的騙局很難防范，因為你不能告訴員工不要接聽手機。Fincher說：“因此，我們在給員工講安全計劃時不能過于模糊?！?/p>

但是，你可以告訴員工避免點擊鏈接或下載未經驗證的發件人的附件。員工可以通過評估電子郵件地址，主題行和郵件格式的方式來發現網絡釣魚攻擊，比如以前的網絡釣魚攻擊中使用的電子郵件可能再次用于網絡釣魚。

“我們經常在釣魚攻擊中看到相似之處，”Ginty說。“黑客針對大量個人發出的郵件中，留下了可用于識別未來網絡釣魚的標記?！边@些標記可能包括電子郵件正文、鏈接或網站中使用的語言。企業可以記錄以前使用的域名，以及嘗試攻擊的類型，以便將來進行參考。

Harris說，可疑的電子郵件也可能表示犯錯，網絡釣魚鏈接是惡意軟件傳送的第一步。如果從某位同事發出來的一封電子郵件并沒有按通常郵件格式書寫，那么就可以發一份快速報告詢問該同事這封郵件是否合法。

七、利用員工壓力

Hadnagy解釋說，如果有員工不堪重負而做出錯誤的決定，他們可能會對沒有驗證對方身份的人傳遞敏感信息。

他回憶說，一個客戶對他們的呼叫中心有嚴格的規則：在一個電話上超過90秒，那么該員工將自己支付電話費。在仔細觀察中發現，員工都在快速地發送信息，因為他們想盡快結束通話，以免從工資中扣除電話費。

Hadnagy指出：“如果黑客了解到該公司的這一規定，那么他們就可能會利用這一規定。因為當我們受到壓力時，就可能做出錯誤的決定。雖然不是所有的雇主都有這樣嚴格的政策，但是他們還是要正確評估員工的工作量，以免產生類似的壓力。

內部威脅已經成為當前網絡安全威脅的重點防范方向，內部威脅既可能是公司員工故意為之，也可能是被黑客攻陷造成。以上7個方面就是由于黑客對公司員工攻擊造成的結果，因此，作為公司而言，加強員工網絡安全意識和知識的培訓已經刻不容緩。往往攻陷不是外部造成，而是內部使然。