黑客再次来袭：美国金融业遭殃

12月2日美国《纽约时报》报道，新型黑客运用钓鱼邮件对美国100多家公司的高管进行钓鱼攻击。攻击者们熟知企业财务和财富500强企业文化，通过运用华尔街行话对目标发送钓鱼邮件，继而窃取他们的Microsoft Outlook帐户的登录凭证，然后利用窃取到的帐户向其他公司成员发送钓鱼邮件。

这个黑客团伙在一年多的时间里窃取了100多个组织的电子邮件，所窃取到的分别有企业C级别高管，法律顾问，监管人员和科学家的帐户，其中80家公司是上市公司，其余20家华尔街公司为企业并购等事务提供咨询服务。黑客们通过窃取到的上市公司的内幕消息，提前买卖股票，大赚一笔。该黑客团伙已使多家企业造成重大损失。

为什么坏人总赢得胜利？

自去年史上最大的用户信息泄露事件（Target塔吉特）以来，又接连发生了多起信息泄露事件。仅从8月到现在，就有UPS快递、CHS（社区医疗系统）、火狐开源、苹果iCloud、家得宝、凯马特等公司遭黑客攻击。

每年都有许多信息泄露事件可以作为企业的反面教材，但是黑客的攻击依然继续使许多企业不堪一击。以至有人认为：“坏人在赢得胜利。”中国有句老话叫邪不胜正，但同时又有个说法叫道高一尺魔高一丈，这究竟是真理的自相矛盾，还是黑客真的太厉害，究其原因，其实不过是以下3点：

 进攻要比防守容易得多

黑客学院(Hacker Academy)的联合创始人兼首席运营官Aaron Cohen认为：“现在系统可以攻击的路径太多，了解系统要比如何防守系统容易的多，黑客总是能找到系统最脆弱的短板。”不得不承认，在网络空间里进攻方占着先手，防守方处于被动。因此，当黑客对企业系统进行攻击时，如果事先没有做好安全防御工作，就只能眼睁睁地看着黑客得逞。

安全防御做了太多无用功

而为什么企业的系统总也抵挡不住黑客的攻击，根本原因在于太多企业的安全人员把精力浪费到战略上并不重要的事务中，这才是最大的问题。之所以坏人显得比好人聪明，是因为企业失败的安全防范，并不是专业人员在做，而是一些传统的IT人员，甚至还有第三方承包商。在安全防御上所做的无用功，为攻击者打开了方便之门。

人们的愚蠢没有补丁可打

黑客的钓鱼邮件往往能够使企业的职员轻易上钩，这些被网络钓鱼或社会工程手段欺骗的愚蠢的职员，之所以不能识别黑客的诈骗手段，很多时候也是因为企业没有做好相应的安全培训。所有的安全防御工作归根结底，人的作用最重要，而企业没有建立起员工的安全意识，做再多的防御工作也是无用功。提高企业整体的安防意识和识别风险的能力，是做好防御工作的基础，因此良好的安全培训是必不可少的。但除非是遭遇过黑客攻击，造成过惨痛损失的企业会愿意亡羊补牢地采取一些补救措施以外，那些处在温水煮青蛙状态中的愚蠢人们是看不到潜在的风险的。

为什么黑客总是可以“魔高一丈”？并不是因为黑客强大到企业的安全人员无法抵挡，许多时候都源自于企业管理者的侥幸心理，在风险还没有发生的时候没有做好具有针对性的全面的防御工作，同时也是因为在意识上没有对企业安全引起重视，才让黑客频频得手。说到这里，管理者们是不是该有所领悟？