对于公司而言，若是一名员工被黑客锁定并发动攻击，那么可能会将整个企业的营业置于危险之中。公司员工在哪些方面可能被黑客实行攻击，员工们应该若何举行防护呢？界小编就来为你清点一下。

现在，也许黑客正在测试贵公司防火墙的防守气力，寻找一个随时可以提议攻击所需要的一个破绽。通常这个破绽可能不是一个详细的“破绽”，而是一个“人”（公司员工）。

人为的破绽，也许只需员工下载一个不良附件，再点击其恶意链接，或者给攻击者发送一条主要信息。因此，平安不再是简朴的事，而是一个可能对公司营业发生影响的事宜。

Social-Engineer公司首席运营官Michele Fincher示意：“公司需要意识到，他们的员工天天拿起电话和回覆电子邮件，实际上都是在做出影响公司营业平安的决议。但他们没有意识到员工需要做出许多好的决议才气确保公司营业平安。”

Fincher说，只是在年度培训课程中解决平安问题还远远不够。“若是每年只对员工在平安方面培训一次，那么员工仍然可能对企业造成平安方面的严重危害。”

社会工程攻击也很难区分正当和恶意流动。已往，黑客需要更多技术才气发动攻击。现在，他们可能会通过社交网络、电话和电子邮件发动攻击。他们也可能只是举行监视而不会发动攻击。

正如Social-Engineer公司首席执行官Chris Hadnagy说，“这些对黑客而言没有门槛。”

以下是黑客用来定位并攻击公司员工的七种常见方式。只有让员工做到知己知彼，才气使他们领会自己的网络危险以及黑客藏身那边。

一、使用社交网络

网络平安威胁普及所有社交网络，SAS（STATISTICAL ANALYSIS SYSTEM）的网络研究和开发副总裁Bryan Harris以为，一些平台可能比其他平台负担了更多的平安风险。

“LinkedIn是黑客获取财富的最大泉源之一，”他说。“使用社交媒体平台可能是把双刃剑。一方面你可以借助它扩大你小我私家的知名度，对于你的职业生涯带来辅助，但它也会增大你受到黑客攻击的可能性。”

每个员工都可以选择通过LinkedIn举行申请。若是他们申请乐成，那么他们可能受益于其中添加的新的联系人，不外也可能增大受到黑客网络攻击的机率，特别是营销和公关部门的员工进入大型社交网络，他们被攻击的可能性会更高。

像LinkedIn和Twitter这样的大型社交网络平台，都具有很大的社会工程风险，由于对于攻击者而言进入门槛较低。Harris注释说，Facebook和Snapchat也面临这些挑战，不外一样平常情况下人们不会接受他们并不熟悉的人的申求。在Twitter和LinkedIn上，人们凭据相互的兴趣和专业确立联系，行使这一点，攻击者可以直接将看似正当但非法的新闻举行发送。

二、冒充身份

我们生涯在这样一个天下，你可以通过多种方式告诉人人自己在做什么。攻击者只需要接见一些社交网络，就可能将一小我私家的所有生涯资料整合在一起。纵然Facebook具有更高的平安性，但其公然的小我私家资料仍然提供了大量的有用信息。

Hadnagy说：“Facebook、Twitter、LinkedIn和Instagram，这些位列前四大社交网络平台的帐户险些可以透露你的一切：家人，同伙，喜欢的餐馆，音乐，兴趣等。若是有人将你小我私家的所有这些资料整合在一起，那么你可以想象一下效果若何。”

他说，所有使用社交网络的员工都容易遭受身份冒充，C级管理职员以及接见小我私家资料的高级管理职员将面临最大的风险。制止身份冒充的关键是要整个企业的人始终保持平安意识，每小我私家都要对这种类型的流动保持高度小心。

PassiveTotal和RiskIQ研究员的团结创始人Steve Ginty忠告说：“大多数情况下，任何人都可以建立一个帐户，并冒充别人。”

他提出了几个主要问题：员工若何确认他们正在联系的人？他们的同事有多少人与这些人有关系？这小我私家已往曾经被别人冒充过吗？

同样值得注重的是，若是有人曾经被别人冒充过，可能会在未来再次被冒充。若是员工收到身份以前被冒充的人的请求，应该花时间举行调查。

三、通过公司网站获取信息

固然，黑客也可能在社交网络之外征采潜在受害者的资料。好比你的公司网站可能会给黑客提供“辅助”。

“纵然他们不知道攻击的途径，若是他们通过开源手段积累了大量的机遇，那么他们可能会针对一家特定的公司，由于他们有更多该公司员工资料，”Ginty注释说。

当你扛不住的时候，去看看这个凌晨三点的城市。

Harris弥补说，许多公司在其网站上刊登了他们的向导、董事会成员以及其他员工的信息。若是攻击者知道该公司的电子邮件模式（他们只需要一个地址就可以这样做），那么他们就可以轻松找出公司高管的联系信息，并将其定位到垃圾邮件中。

若是他们可以收集到向导的更多小我私家信息，那么他们的攻击更容易得逞。“在特定集会或公然演讲流动中的人们提供了建立社会工程和网络钓鱼电子邮件的渠道，这些邮件对最终用户更为可信，”Ginty说。

四、电话诈骗

Fincher说，语音电话诈骗是一种危险的、廉价的、越来越常见的针对受害者的攻击方式。她注释说，她会经常打电话给客户进一步领会其内部系统，以便知道在那里发现问题。

黑客也可以做同样的事情。黑客通常以新客户为幌子与企业联系，要求他们提供信息。这样黑客就可以收集到有关企业系统和当前问题的大量信息，并行使这些信息举行诈骗。

由于这些类型的攻击是异常难以察觉的。Hadnagy说：“若是黑客够伶俐，人们就不会知道他们针对谁举行攻击。“有些诈骗电话听起来就像一次正常的对话。”

然而，没有经验的黑客可能会泛起纰漏，只要员工注重几个忠告标志就可以区分。有些黑客可能会在短时间内拨打太多电话来举行诈骗。之前接过诈骗电话的人可能会发出信息，使后面接听诈骗电话的人对这样的诈骗流动发生嫌疑。

五、信托的危害

请点击此处输入图片形貌

若是员工随意信托陌生人可能使企业陷入危险。通常，黑客可以强迫人们发送信息而无法识别自己，主要由于公司没有准确的身份验证程序，或者他们不使用它。

Fincher注释说：“若是你用正当的电话号码呼叫对方，人们就不会提出嫌疑，由于他们以为验证别人的身份或请求是无礼的。”

Hadnagy举了一个例子，黑客假装成美国国税局的工作职员打电话，他们指称受害人完税太晚，并威胁要逮捕受害人。也有黑客声称是Microsoft支持职员，取得受害人信托并授权后最先对其电脑举行远程接见获取信息。

完善的公司会给予员工适当的平安政策和指导，告诉他们若是对方要求提供进一步的信息，他们可以接纳另一种方式举行看待。这也侧面给员工注释了为什么他们需要验证对方身份，除非对方身份验证通过，否则将不会提供进一步的信息。

六、发送电子邮件附件

黑客可能会通过威胁和网络钓鱼等诈骗手段，使得受害者防不胜防：他们会向受害者电电话先容自己，并在电子邮件中捆绑附件，用于提议网络钓鱼攻击。

请点击此处输入图片形貌

这样的圈套很难提防，由于你不能告诉员工不要接听手机。Fincher说：“因此，我们在给员工讲平安设计时不能过于模糊。”

然则，你可以告诉员工制止点击链接或下载未经验证的发件人的附件。员工可以通过评估电子邮件地址，主题行和邮件花样的方式来发现网络钓鱼攻击，好比以前的网络钓鱼攻击中使用的电子邮件可能再次用于网络钓鱼。

“我们经常在钓鱼攻击中看到相似之处，”Ginty说。“黑客针对大量小我私家发出的邮件中，留下了可用于识别未来网络钓鱼的符号。”这些符号可能包罗电子邮件正文、链接或网站中使用的语言。企业可以纪录以前使用的域名，以及实验攻击的类型，以便未来举行参考。

Harris说，可疑的电子邮件也可能示意犯错，网络钓鱼链接是恶意软件传送的第一步。若是从某位同事发出来的一封电子邮件并没有按通常邮件花样誊写，那么就可以发一份快速讲述询问该同事这封邮件是否正当。

七、行使员工压力

Hadnagy注释说，若是有员工不堪重负而做出错误的决议，他们可能会对没有验证对方身份的人通报敏感信息。

他回忆说，一个客户对他们的呼叫中央有严酷的规则：在一个电话上跨越90秒，那么该员工将自己支付电话费。在仔细观察中发现，员工都在快速地发送信息，由于他们想尽快竣事通话，以免从工资中扣除电话费。

Hadnagy指出：“若是黑客领会到该公司的这一划定，那么他们就可能会行使这一划定。由于当我们受到压力时，就可能做出错误的决议。虽然不是所有的雇主都有这样严酷的政策，然则他们照样要准确评估员工的工作量，以免发生类似的压力。

内部威胁已经成为当前网络平安威胁的重点提防偏向，内部威胁既可能是公司员工故意为之，也可能是被黑客攻陷造成。以上7个方面就是由于黑客对公司员工攻击造成的效果，因此，作为公司而言，增强员工网络平安意识和知识的培训已经刻不容缓。往往攻陷不是外部造成，而是内部使然。