电子邮件仍然是犯罪分子用来攻击公司的最容易利用的攻击媒介之一。一个员工打开电子邮件中的恶意链接就足以让黑客绕过所有网络防御,这就是为什么防止基于电子邮件的威胁应该是重中之重的原因。
本文涵盖了15 种有效但易于实施的电子邮件安全最佳实践,您应该遵循这些最佳实践来提高电子邮件安全性。我们还介绍了您的员工可能面临的最常见的基于电子邮件的威胁,因此请继续阅读以了解如何让潜在的黑客远离您公司的收件箱。
最佳电子邮件安全实践
以下是您应该遵循的最有效的电子邮件安全最佳实践列表,以提高一般网络安全并确保您的员工已准备好应对基于电子邮件的威胁。
使用强电子邮件密码
密码越容易猜到,就越有可能有人会破坏电子邮件帐户。
即使您不依赖“123456”或“password123”之类的密码(不幸的是,有太多人这样做了),黑客也可以使用顶级暴力攻击工具,甚至可以破解中等复杂的密码。例如,像“Pa$$word2211991”这样的密码可能看起来很安全,但高端工具可以在一分钟内破解该密码。
贵公司的每个员工都应该为他们的电子邮件帐户设置一个可靠且唯一的密码,以防止暴力攻击(或有人简单地猜测密码)。可靠的密码应该:
- 至少有 12 个字符。
- 依赖大小写字母、数字和特殊符号的混合。
- 随机且独特。
- 不包括常用短语。
- 不包含任何个人信息(家庭成员或宠物的姓名、公司、出生地、生日或黑客可以通过谷歌搜索您的姓名或在社交媒体上进行间谍活动发现的任何其他信息)。
准备网络钓鱼电子邮件
网络钓鱼电子邮件试图诱骗其中一名员工提供有用的信息或单击恶意链接。攻击者通常使用网络钓鱼将目标骗入:
- 下载恶意软件。
- 提供敏感数据(通常是登录详细信息)。
网络钓鱼策略是犯罪分子用来利用电子邮件的最常见的社会工程方法之一。一些标准策略包括:
- 假装是服务提供商,并要求目标通过指向虚假网站的链接“登录”。
- 强加上级并要求提供敏感数据。
- 假装是安全团队的一员,并要求受害者“更新”他们的一个密码。
- 发送带有隐藏程序的恶意文件的电子邮件。
不幸的是,没有办法阻止网络钓鱼电子邮件。您的员工一定会不时收到一份,这就是为什么教育员工是保护您的公司的主要方式。
防止网络钓鱼的黄金法则是不要回复、单击链接或打开看起来可疑的电子邮件中的附件。员工在与电子邮件交互之前应使用常识,并且必须能够:
- 识别可疑文件和链接。
- 评估消息中请求背后的原因。
- 检查发件人的地址。
- 评估电子邮件的一般状态(语法、业务背景、语气、缺少电子邮件签名等)。
您还可以运行定期网络钓鱼模拟,以保持员工警觉并测试他们在现实生活中识别可疑电子邮件的能力。
使用 2FA 验证电子邮件登录
双重身份验证 (2FA) 要求员工除了输入用户名和密码外,还需要提供额外的凭据。另一个验证因素增加了一层额外的防御,是抵御暴力攻击和密码破解的重要手段。
除了提供用户名和密码外,2FA 还要求员工提供以下一项(或多项):
- 独特的物品(令牌、卡片等)。
- 通过短信、电子邮件、语音电话或基于时间的一次性密码 (TOTP) 应用程序收到的 PIN。
- 生物特征数据(眼睛、指纹、面部或语音扫描)。
- 在移动设备上生成的条形码。
- 确认用户当前正在尝试登录的手机提示。
即使攻击者窃取了您一名员工的电子邮件凭据,使用 2FA 也将阻止入侵者登录电子邮件帐户。
幸运的是,部署 2FA 并不像听起来那么技术性。大多数电子邮件平台默认提供双重身份验证,因此没有理由不使用 2FA 来保护公司的收件箱。
培训员工如何处理电子邮件附件
攻击者通常使用电子邮件附件来隐藏将恶意软件注入系统的可执行文件或程序。在打开附件之前,请教育您的员工问自己以下问题:
- 发件人是我组织内的人还是我可以信任的人?
- 此类附件的格式是否正确(注意.exe(可执行程序)、.jar(Java 应用程序)和.msi(Windows 安装程序))?
- 电子邮件本身是否提及有关附件的任何内容?
- 我期待这个电子邮件附件吗?
- 发件人的地址是否合法?
- 附件背后的人是否定期发送您的电子邮件?
如果有丝毫的怀疑,员工不应该打开附件。相反,他们应该首先与发件人确认内容,以确保电子邮件是真实的。
您还可以使用端点电子邮件安全来帮助您的员工与恶意文件作斗争。这些工具包括扫描电子邮件内容以查找危险链接和附件的反恶意软件和病毒程序。
确保员工永远不会从公共 Wi-Fi 访问电子邮件
如果您允许员工将办公设备带回家或从个人设备打开工作电子邮件,您必须确保员工不会通过公共 Wi-Fi 访问电子邮件。
网络犯罪分子只需要基本技能来发现通过可公开访问的 Wi-Fi 传输的数据,因此敏感数据和登录凭据都处于危险之中。
员工只有在对网络安全有信心时才应该访问他们的电子邮件。一个更安全的选择(尽管不如仅在使用办公室 Wi-Fi 时打开电子邮件安全)是使用移动互联网或互联网加密狗在办公室外使用。
定期更改密码
最简单(也是最有效)的电子邮件安全最佳实践之一是确保员工定期更改密码。你应该:
- 确保每位员工每 2 到 4 个月拥有一个新的电子邮件密码。
- 使用设备强制更改密码,而不是让员工更新凭据。
- 防止员工在当前密码中添加一两个字符来创建新密码。
- 防止员工使用他们过去已有的密码。
当然,每个新密码都应遵循强密码短语的标准规则(大小写、数字、符号等的混合)。
永远不要在电子邮件中泄露个人信息
如果一封电子邮件要求您提供任何个人信息(生日、社会保险号、信用卡号、密码),则该邮件很可能是骗局。
如果电子邮件要求提供私人信息,您应该通过在线查找相关公司的联系信息来致电相关公司,而不是按照电子邮件中的说明进行操作。您很可能会发现公司对电子邮件一无所知,他们会警告您不要通过电子邮件发送私人数据。
永远不要回复诈骗者和垃圾邮件发送者
一些员工喜欢回复网络钓鱼电子邮件和垃圾邮件,但您应该确保员工不会回复诈骗者。
向诈骗者或垃圾邮件发送者发送回复可验证您的电子邮件地址是否有效。虽然没有直接的危险,但让诈骗者知道您使用该地址会为未来的更多攻击打开大门。
培训员工检查电子邮件 URL
另一个简单但有效的电子邮件安全最佳实践是培训员工在收到电子邮件中的链接时检查 URL(尤其是当邮件来自不熟悉的来源时)。
在单击 URL 之前,员工应将鼠标悬停在链接上。如果地址不包含 HTTPS 扩展名,则该 URL 可能不会导致安全网站。诈骗者经常试图引诱受害者点击指向恶意软件下载页面的链接。这些不安全的网站通常具有 HTTP 扩展名。
此外,该 URL 可能看起来像一个熟悉的链接,但真的是这样吗?例如,诈骗者可以替换一个域字母以欺骗员工认为该 URL 是合法的(例如 goggle.com 而不是 google.com)。
不要跨帐户重复使用密码
每个员工的每个帐户都应该有一个唯一的密码。他们的电子邮件密码不应与他们用于其他目的(后端登录、工具凭据、HR 软件密码等)的任何密码相匹配。
密码之间的匹配也适用于私人账户。例如,工作人员的 Facebook 或银行帐户密码不得与其工作电子邮件凭据相同。这样,如果银行的凭据曾经是数据泄露的一部分,您公司的电子邮件帐户就不会处于危险之中。
由于为每个帐户设置唯一密码是最繁琐的电子邮件安全最佳实践之一,因此您应该使用1Password或LastPass之类的密码管理工具。这些平台会自动创建复杂的密码并将其存储起来,而员工只需记住一个主密码。
使用垃圾邮件过滤器
大多数电子邮件服务提供商都有内置的垃圾邮件过滤器。过滤器有助于:
- 将合法电子邮件与恶意邮件分开。
- 降低网络钓鱼和垃圾邮件的可能性。
- 保持收件箱整洁且更易于管理。
作为一个额外的好处,垃圾邮件过滤器可以减少电子邮件的数量。员工在浏览收件箱并对可疑邮件发出警报时会更加专注。
虽然大多数人将垃圾邮件与广告冲击联系起来,但垃圾邮件也可能包含恶意软件,甚至更糟糕的是,勒索软件。如果垃圾邮件过滤器阻止勒索软件电子邮件进入员工的收件箱,那么打开该功能是值得的。
防止员工将商业电子邮件用于私人目的(或反之亦然)
员工应仅将企业电子邮件用于与公司相关的问题和更新。员工没有理由:
- 将电子邮件用于私人目的(例如订阅时事通讯、制作游戏帐户等)。
- 将与工作相关的内容发送到私人电子邮件地址。
- 使用专业的电子邮件在线购物。
- 使用该地址交换个人信息。
- 在网上任何地方(社交媒体、论坛、聊天室等)发布地址。
每当员工分享他们的电子邮件时,他们都会增加地址落入坏人之手的机会。黑客扫描公共网站以收集他们稍后出售或定位的信息,因此每次暴露地址都会增加风险。
阻止员工将与工作相关的内容发送到私人电子邮件的另一个原因是,任何入侵个人地址(可能不像公司电子邮件那样受到保护)的人都可以访问员工从公司地址发送的任何内容。
让员工了解电子邮件安全的价值
教育员工而不是仅仅执行电子邮件安全最佳实践至关重要。如果没有建立意识,员工可能会认为对复杂密码和严格规则的要求是毫无意义和不公正的。
您应该组织强制性的电子邮件安全意识会议,解释:
- 所有相关的电子邮件安全最佳实践。
- 基于电子邮件的攻击的最新趋势。
- 如何识别网络钓鱼的迹象。
- 仅将工作电子邮件用于与工作相关的目的的重要性。
- 如何检查电子邮件地址。
- 合法和非法电子邮件请求的特征。
- 如何创建强密码。
- 员工可以在哪里找到公司的电子邮件和密码相关政策。
- 员工应如何对可疑电子邮件作出反应。
无论您部署多少安全措施,垃圾邮件和网络钓鱼电子邮件偶尔都会漏掉。当他们这样做时,您的员工对电子邮件威胁的理解是决定入侵尝试失败和成功的关键。
确保员工在一天结束时退出电子邮件帐户
另一个有效但简单的电子邮件安全最佳实践是确保员工在工作日结束时退出其电子邮件平台。您可以鼓励员工自行注销,也可以使用电子邮件平台在特定时间自动让每个人注销。当员工使用不熟悉的设备或网络检查他们的电子邮件时,这种做法很有用。
使用电子邮件加密
每封电子邮件都有被攻击者拦截或发送到错误地址的风险。您可以使用数据加密来应对这两种威胁。加密会扰乱原始电子邮件内容,并将消息变成无法阅读的混乱。接收者可以使用唯一的解密密钥来显示文本,因此任何在途拦截或错误的接收者都不会导致数据泄露。
常见的电子邮件安全风险
不幸的是,不乏基于电子邮件的威胁。您可能遇到的一些最常见的电子邮件安全风险是:
- 社会工程电子邮件: 社会工程策略试图赢得目标的信任以窃取信息。网络钓鱼是迄今为止最常见的基于电子邮件的社交策略。
- 带有恶意软件的电子邮件:这些电子邮件试图将恶意软件注入您的系统。攻击者通常将恶意软件“武装”在附件中或受害者应该打开的虚假网站上。如果恶意软件进入您的系统,攻击者可以控制设备、窃取数据或设置间谍软件。
- 垃圾邮件:垃圾邮件涉及各种不需要的邮件,这些邮件可能会在收件箱中塞满广告和木马感染的邮件。由于全球大约 60% 的电子邮件流量是垃圾邮件,因此您不应忽视这一威胁。
- 勒索软件:如果恶意电子邮件包含勒索软件程序,则单个员工打开错误的电子邮件可以使攻击者加密您的数据或设备。
- 僵尸网络消息:受感染的电子邮件可以将您公司的设备变成僵尸网络的一部分,用于以DDoS 攻击为目标的其他受害者。
- 商业电子邮件妥协 (BEC): BEC 是一种鱼叉式网络钓鱼,其中黑客伪装成公司的高级管理人员之一。
不幸的是,网络攻击(基于电子邮件和其他方式)在不断发展,因此保持领先地位具有挑战性。黑客可能非常聪明和富有创造力,因此保护您公司的收件箱需要跟上最新的威胁。
