居家办公时防范网络钓鱼诈骗的5个方法

新冠疫情颠覆了数百万人的日常生活。为保障安全而居家办公的人数激增，使得"一切照常"的状态与封锁前大相径庭。远程办公虽带来诸多挑战，但企业因员工远程工作而面临的网络安全风险加剧却常被忽视。多数机构对远程办公转型毫无准备，部分企业更沦为趁乱行骗者的牺牲品。 社会工程学攻击最易得逞于员工放松警惕之时。居家办公的舒适环境，甚至让最懂技术的员工也频频犯下安全错误。

员工常认为公司IT部门已确保其数字工作环境的安全。这种安全错觉往往助长了网络钓鱼攻击的成功率，使企业数据面临风险。即便在办公场所，维护安全的工作环境也颇具挑战，而居家办公时更需强调网络安全的重要性。

针对居家办公员工的网络钓鱼攻击屡屡得逞，主要有以下三个原因：

• 缺乏技术知识
• 缺乏适当的协议和流程，或难以有效执行的协议和流程
• 网络安全意识培训的缺失

我们咨询了网络安全意识培训领域的领导者——全球学习系统（Global Learning System）的合作伙伴，询问他们认为家庭办公安全存在哪些最大漏洞，以及雇主和员工可采取哪些措施来防范网络钓鱼攻击和网络攻击。以下是他们的见解：

风险一：新冠疫情为网络钓鱼攻击提供了绝佳环境

网络钓鱼是一种网络犯罪，诈骗者通过电子邮件或电话冒充合法机构诱骗个人提供敏感信息。新冠疫情为实施钓鱼攻击的诈骗者提供了绝佳机会，他们利用紧迫感和错失恐惧心理操控受害者。常见的新冠主题钓鱼攻击包含诸如"立即查看您周边的新增病例！"、"新疫苗上市，速速接种！"等诱导性行动号召。

此外，随着更多人居家办公，针对固定电话和手机的新冠相关诈骗电话数量激增。诈骗手段包括：冒充需要信息的客户、假扮公司技术支持人员，甚至声称可提供上门消毒服务。雇主必须培训员工提高警惕，防范此类与新冠疫情相关的电子邮件和电话诈骗。

明确贵组织将如何向员工传达与疫情相关的信息，以便他们能够区分真实通讯与钓鱼攻击。向员工提供钓鱼邮件或电话的实例，使其了解其作案手法并掌握识别要点。建议员工对未知号码来电进行筛选。确保全体员工知晓应向安全团队或管理层报告钓鱼攻击事件，从而使组织内所有人保持信息同步。

风险二：工作沟通中短信使用量增加

随着日常对话越来越多地通过远程方式进行，工作相关的短信交流也随之增加。如今员工正将短信作为与同事及客户沟通的渠道。短信诈骗正是利用这一特点，诱骗用户点击链接，将其引向要求获取更多信息或下载文件的网站。一旦用户点击链接，恶意软件便会植入其手机，存储的信息便面临泄露风险。

为防范短信诈骗，企业可要求使用提供端到端加密的加密通讯应用进行工作相关沟通。制定使用短信进行工作沟通的具体规程，例如绝不通过短信发送密码或其他敏感信息。培训员工切勿点击短信中的链接或通过短信传输文件。

免费远程办公安全培训

风险三：工作设备上社交媒体使用量增加

由于员工居家办公且多数人渴望社交互动，社交媒体使用量激增。社交媒体向来是网络钓鱼攻击的热门渠道，员工使用工作设备访问个人社交媒体账户可能危及企业数据安全。看似无害的Facebook测验可能泄露可用于破解密码的信息；一张展示家庭办公空间的Instagram趣味照片，可能通过背景屏幕或桌面文件暴露公司机密。

为消除这种风险行为，最佳做法是禁止员工使用公司提供的设备访问个人社交媒体平台。员工应始终使用未存储公司信息的个人设备进行私人社交媒体活动。您还可采用终端管理系统监控员工设备使用情况。

风险#4. 在家办公时进行多任务处理

居家办公时难免需要处理多项任务。当员工离开工作设备去照看孩子或处理家务时，可能会引发意想不到的安全风险。贵组织的安保协议应包含员工离开工作区域时保障设备和数据安全的具体步骤，这些规则同样适用于家庭办公室。

必须要求员工在离开工作区域时随时锁定设备屏幕。执行"整洁办公桌"政策，并要求家庭办公室配备可上锁的存储设备，同样能最大限度降低安全风险。员工还应关闭或静音亚马逊Alexa、谷歌Home等智能设备，避免无意中泄露公司信息。

风险 #5. 在工作设备上下载未经批准的应用程序

在公司提供的设备上授予员工管理员权限，意味着他们可以自由下载和安装应用程序。在居家办公场景中，员工可能会为提升工作效率而下载新软件、浏览器插件或扩展程序。此举可能导致恶意软件下载及数据泄露。

为保障公司设备与信息安全，切勿授予员工设备管理员权限。应向员工说明新软件申请流程，并提供经批准的应用程序清单。仅允许使用安全的软件即服务（SaaS）选项，禁止将工作设备连接至外部硬件（如打印机或可移动存储介质）。

降低风险，保护您的数据

上述潜在安全风险清单遗憾地未能涵盖所有可能情况。随着网络钓鱼攻击手段日益复杂化，加之当前新冠疫情环境，审查远程员工的工作配置并降低潜在风险显得尤为重要。

为全体员工提供包含远程办公组件的全面安全意识培训，将增强您的"人为防火墙"，降低数据泄露风险。该在线培训可有效预防导致恶意软件、网络钓鱼和勒索软件等威胁的常见安全事件。

——————————————–

全球学习系统公司正提供多种免费资源，助力各类组织在新时代提升网络安全能力。这些资源包括免费在线课程、博客文章以及面向员工的指导手册。