新闻链接：http://www.seehand.com/evaluating/1408.html
新闻时间：2016.03.03
新闻正文：

钓鱼邮件正在变得越来越普遍，一位Snapchat的员工中了钓鱼邮件的招——攻击者伪装成CEO并试图骗取信息或金钱。

网络骗子成功愚弄了图片社交服务商Snapchat公司的一位员工，说服该未透露姓名的员工将若干现任和前任员工的信息发送给攻击者，该公司在2月29日的一篇声明中写道。

2月26日，一位员工收到了一封致Snapchat公司薪酬部门的钓鱼邮件，要求提供部分（未公开数量）员工的财务信息。该员工回复了该邮件，从而“某些现任员工和前任员工的工资信息遭到对外的公开，”该公司称。

“真是非常遗憾——而且尴尬——我们的一位员工竟中了钓鱼攻击的招，而且将我们员工的工资信息披露了出去，”该公司在其博客中写道，“好在我们的服务器未遭到攻击，而且我们用户的数据完全不会受这些事情影响。坏消息是，我们很多员工的身份信息现在遭到了泄露。”

这次事件是不断肆虐的骗局的最新一次成功。或也可称为企业邮件攻击或CEO诈骗，该社交工程攻击用看似CEO或首席财务官（CFO）的邮箱地址向员工发送邮件，要求金钱转账或提供敏感信息。通常，攻击者事实上已经控制了执行官的邮箱账号。

由于报税季正不断临近，对于工资信息的诈骗请求很可能会增加，而且，公司应当多留点心，安全意识培训公司KnowBe4的CEO Stu Sjouwerman说道。

“这些骗局是试图开始金钱转账的开端，但是现在，我们正处在报税季，突然会出现W-2骗局（报税诈骗），”他说道。

尽管Snapchat公司的员工公开了敏感的工资信息，但事件原本或变得更糟。其他受害人在收到这类邮件后实施了汇款，支付了数百万美元。

Snapchat公司向FBI进行了报案，找出了受影响的员工，并向他们提供两年的身份遭窃监控（identity-theft monitoring）和保险服务，公司说道。

尽管许多安全公司更关注于针对软件漏洞的复杂攻击，钓鱼攻击往往是攻击者进入目标公司网络的第一步。

“Snapchat员工的数据泄露事件是另一种实例，说明成为钓鱼攻击的受害者是多么容易，”Webroot公司的安全情报负责人Grayson Milbourne说道，“尽管复杂攻击策略的范围广，但老掉牙的伎俩（如钓鱼）仍然很普遍，使得网络用户仍很容易受到网络威胁的攻击。”

针对钓鱼攻击的最佳防御措施也仍在争论之中。安全意识培训公司，例如KnowBe4公司，主张教育员工识别钓鱼邮件并汇报带欺诈要求的邮件能最好地改善对社交工程攻击的防御。其他安全公司主张，攻击者很容易就能一直发送邮件信息直到有人上当受骗为止，使得培训不太奏效。相反，检测敏感信息的泄露或潜在的恶意邮件攻击的技术可以将风险最小化。

谨慎的公司趋向于对上述两道防线均予以关注。Snapchat已承诺要积极地培训员工。

“当这种事发生后，你可以做就只有承认错误，照顾好受影响的人，并吸取教训，”该公司在声明中说道，“为了确保做得更好，我们会在前来的几周内，加倍原来本已很严格的关于隐私和安全的培训项目。”

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法