为什么钓鱼邮件看上去这么简单的骗局,但却屡屡爆出巨额诈骗中招,甚至不乏上市公司?
我们首先来讲解下“墨菲定律”,墨菲定律是西方世界首先发现的。简单来说就是事情往往会向你所想到的不好的方向发展,只要有这个可能性。
“墨菲定律”英文一:Anything that can go wrong will go wrong。直译过来就是“凡事只要有可能出错,那就一定会出错。
“墨菲定律”英文二:If there are two or more ways to do something, and one of those ways can result in a catastrophe, then someone will do it. 直译过来如果有两种或两种以上的方式去做某件事情,而其中一种选择方式将导致灾难,则必定有人会作出这种选择。
根据“墨菲定律”可以得出4条结论:
1、任何事都没有表面看起来那么简单;
2、所有的事都会比你预计的时间长;
3、会出错的事总会出错;
4、如果你担心某种情况发生,那么它就更有可能发生。
比如你衣袋里有两把钥匙,一把是你房间的,一把是汽车的;如果你现在想拿出车钥匙,会发生什么?是的,你往往会拿错了房间钥匙。
换种说法:假定你把一片干面包掉在地毯上,这片面包的两面均可能着地。但假定你把一片一面涂有一层果酱的面包掉在地毯上,常常是带有果酱的一面落在地毯上。
它道出了一个铁的事实:技术风险能够由可能性变为突发性的事实。
它揭示了一种独特的社会及自然现象。
它的极端表述是:如果坏事有可能发生,不管这种可能性有多小,它总会发生,并造成最大可能的破坏。
“墨菲定律”、“帕金森定律”和“彼德原理”并称为二十世纪西方文化三大发现。
我们了解墨菲定律后,就会明白,为什么钓鱼邮件看上去这么简单的骗局,为什么还是屡屡发生了,
筑人科技用墨菲定理分析钓鱼邮件时,可以说是一针见血:
1、墨菲定理第一条“任何事都没有表面看起来那么简单”:钓鱼邮件是最常用、最直白、最低成本的网络攻击方式,但是他没有表面看起来这么简单。
2、墨菲定理第二条“所有的事都会比你预计的时间长”:如何防止面向企业邮箱的网络钓鱼攻击,比很多人预计的时间要长,要复杂。
3、墨菲定理第三条“会出错的事总会出错”:如果在使用和管理企业邮箱中有一些小的细节没有做好,比如用户密码复杂程度不够强,他就会出错。
4、墨菲定理第四条“如果你担心某种情况发生,那么它就更有可能发生”:大亚圣象在2022年3月发布的2021年度业绩报告显示,报告期内,该公司全资子公司圣象集团有限公司下属子公司美国HomeLegendLLC公司成为一起电信欺诈的受害者,肇事者入侵该公司租用的微软公司365邮箱系统,伪造假电子邮件冒充该公司管理层成员,伪造供应商文件及邮件路径,实施诈骗,涉案金额约356.9万美元(折合人民币2275.49万元)。主板上市公司都会出现这种钓鱼邮件造成巨额损失,很多人担心会再次出现类似的事故。尽管就目前公布的各种数据而言,也有人说大亚钓鱼事件是偶然事件,但面对海量的钓鱼邮件攻击,企业用户需提高防患意识,否则一不小心便会掉进黑客的邮件圈套。
钓鱼邮件究竟怎么钓鱼?
常见的钓鱼邮件诈骗三部曲,虽然手段普通但仍让人防不胜防。
放饵:盗取邮箱密码,用互联网搜索邮箱账号“撞库”或技术手段暴力破解/钓鱼邮件/木马病毒/盗号软件等盗取用户密码。
钓鱼:监听邮件/篡改邮件,黑客会修改目标邮箱的自动转发设置,一旦发现往来邮件中涉及合同签订、款项往来之类的内容时,直接利用收款方的邮箱或注册一个山寨邮箱,抓住双方约定汇款的时机向汇款方发送篡改过内容的新邮件。
上钩:转移款项,以银行账号更换为名,要求客户将款项划至黑客指定的银行账户,冒名顶替正常交易从而获利。
从墨菲定律看安全管理预防钓鱼邮件
第一、正确认识墨菲定律
对待这个定律,防钓鱼邮件安全管理人员存在着两种截然不同的态度:一种是消极的态度,认为既然差错是不可避免的,事故迟早会发生,那么,管理者就难有作为;另一种是积极的态度,认为差错虽不可避免,事故迟早要发生的,那么安全管理者就不能有丝毫放松的思想,要时刻提高警觉,防止事故发生,保证安全。正确的思维方式是后者。根据墨菲定律可得到如下两点启示:
认识之1:不能忽视小概率危险事件
由于小概率事件在一次实验或活动中发生的可能性很小,因此,就给人们一种错误的理解,即在一次活动中不会发生。与事实相反,正是由于这种错觉,麻痹了人们的安全意识,加大了事故发生的可能性,其结果是事故可能频繁发生。纵观无数的大小事故原因,可以得出结论:“认为小概率事件不会发生”是导致侥幸心理和麻痹大意思想的根本原因。墨菲定律正是从强调小概率事件的重要性的角度明确指出:虽然危险事件发生的概率很小,但在一次实验(或活动)中,仍可能发生,因此,不能忽视,必须引起高度重视。
认识之2:墨菲定律是防钓鱼邮件安全管理过程中的长鸣警钟
安全管理的目标是杜绝事故的发生,而事故是一种不经常发生和不希望有的意外事件,这些意外事件发生的概率一般比较小,就是人们所称的小概率事件。由于这些小概率事件在大多数情况下不发生,所以,往往被人们忽视,产生侥幸心理和麻痹大意思想,这恰恰是事故发生的主观原因。墨菲定律告诫人们,安全意识时刻不能放松。要想保证安全,必须从现在做起,从我做起,采取积极的预防方法、手段和措施,消除人们不希望有的和意外的事件。
第二、发挥警示职能,提高安全管理水平
安全管理的警示职能是指在人们从事生产劳动和有关活动之前将危及安全的危险因素和发生事故的可能性找出来,告诫有关人员注意并引起操作人员的重视,从而确保其活动处于安全状态的一种管理活动。由墨菲定律揭示的两点启示可以看出,它是安全管理的一项重要职能,对于提高安全管理水平具有重要的现实意义。在安全管理中,警示职能将发挥如下作用:
1) 警示职能是安全管理中预防控制职能得以发挥的先决条件
任何管理,都具有控制职能。由于不安全状态具有突发性的特点,使安全管理不得不在人们活动之前采取一定的控制措施、方法和手段,防止事故发生。这说明安全管理控制职能的实质内核是预防,坚持预防为主是安全管理的一条重要原则。墨菲定律指出:只要客观上存在危险,那么危险迟早会变成为不安全的现实状态。所以,预防和控制的前提是要预知人们活动领域里固有的或潜在的危险,并告诫人们预防什么,并如何去控制。
2) 发挥警示职能,有利于强化安全意识
安全管理的警示职能具有警示、警告之意,它要求人们不仅要重视发生频率高、危险性大的危险事件,而且要重视小概率事件;在思想上不仅要消除麻痹大意思想,而且要克服侥幸心理,使有关人员的安全意识时刻不能放松,这正是安全管理的一项重要任务。
3) 发挥警示职能,变被动管理为主动管理
传统安全管理是被动的安全管理,是在人们活动中采取安全措施或事故发生后,通过总结教训,进行“亡羊补牢”式的管理。当今,科学技术迅猛发展,市场经济导致个别人员的价值取向、行为方式不断变化,新的危险不断出现,发生事故的诱因增多,而传统安全管理模式已难于适应当前情况。为此,要求人们不仅要重视已有的危险,还要主动地去识别新的危险,变事后管理为事前与事后管理相结合,变被动管理为主动管理,牢牢掌握安全管理的主动权。
4) 发挥警示职能,提高全员参加安全管理的自觉性
安全状态如何,是各级各类人员活动行为的综合反映,个体的不安全行为往往祸及全体,即“100-1=0”。因此,安全管理不仅仅是领导者的事,更与全体人员的参与密切相关。根据心理学原理,调动全体人员参加安全管理积极性的途径通常有两条:①激励:即调动积极性的正诱因,如奖励、改善工作环境等正面刺激;②形成压力:即调动积极性的负诱因,如惩罚、警告等负面刺激。对于安全问题,负面刺激比正面刺激更重要,这是因为安全是人类生存的基本需要,如果安全,则被认为是正常的;若不安全,一旦发生事故会更加引起人们的高度重视。因此,不安全比安全更能引起人们的注意。墨菲定律正是从此意义上揭示了在安全问题上要时刻提高警惕,人人都必须关注安全问题的科学道理。这对于提高全员参加安全管理的自觉性,将产生积极的影响。
第三、结束语
墨菲定律的内容并不复杂,道理也不深奥,关键在于它揭示了在安全管理中人们为什么不能忽视小概率事件的科学道理;揭示了安全管理必须发挥警示职能,坚持预防为主原则的重要意义;同时指出,对于人们进行安全教育,提高防钓鱼邮件安全管理水平具有重要的现实意义。
企业亟待提高防范意识 让安全操作成为习惯
筑人科技认为,在针对企业邮箱防钓鱼安全问题上,企业的防范意识非常低。除了要加强对员工防范意识,让安全操作成为习惯。
定期进行安全培训、检查外,想要从根本上解决问题,还是要选用专业的企业邮箱服务商,例如网易企业邮箱,优质服务商能提供的安全保障更全面,可以大幅降低企业所面临的风险。
合作企业
行业和类目
服务响应
垃圾拦截率
连续多年获得网易优秀经销商
一心一意专心致力于企业邮箱
满足企业信息化个性需求
一对一邮箱顾问服务