看到一篇文章談到愚人節和Phishing(電子誘騙),不由想到公司裏進行的反Phishing演練。每隔一段時間,公司的網絡安全部門就會送出phishing電子郵件,其種類繁多,五門六道。有冒充快遞公司的,說你的下單有問題;有通知你中獎的,讓你提供資料領獎;有提供銷售福利的,讓你認證。一旦你上當,回了電郵,或者點了裏麵的link, 你就中彩了。馬上就會看到顏色鮮豔的警告信息,靠訴你違反了公司的規定,會對公司帶來巨大損失。同時你也立馬上了黑名單,你的老板也會被馬上告知。老板一般會找你談話,予以訓斥,最倒黴的情況,中招會在年底的performance review 中被提到,甚至被用來壓低你的評分。記得有一次公司的保安部門走的太遠,發了一個phishing電郵,冒充人事部門但用的是非公司的網絡地址,電郵的標題說是說T4有問題,很多人中招,結果招來公憤,安保人員不得不道歉。大家說如果測試郵件是說家裏人遇到緊急情況,會有更多人中招,不能如此培訓。後來讀電郵時養成了習慣,隻要不是公司的短信,一律作為phishing短信,轉給公司網絡安全部門,由他們先認定,把責任推給他們,讓他們保險。一般公司的測試phishing郵件,會同時發給公司內的許多人,一旦被識破,當你選擇它是phishing郵件時,會說謝謝你的合作,請不要靠訴你的同事。但許多同事還會互相轉告,防止上當受騙。最可笑一次,老板自己中招,說是剛從Amazon下了單,結果收到公司冒充快遞公司的phishing電郵。老板為了防止自己的下屬上黑名單,影響聲譽,還是囑咐下屬留意。大家在底下偷偷發笑,不乏幸災樂禍。美國公司在網絡安全上花費了巨資,特別是金融公司。這也是萬不得已,一旦公司網絡被攻破,就可能會被敲詐勒索,不但破財,還會影響聲譽。但網絡安全也給工作帶來許多麻煩,特別是作IT的,大大增加了工作的難度。如果需要訪問有安全易患的網址,要用即時產生的密碼。許多公司內部網址要有訪問權,還需要定時更新,更不要說獲取和更新那些網絡的鑰匙的麻煩。但同時身為提供網絡服務公司的客戶,還是希望各個公司做好顧客資料的安全保護。
