我們的第一篇 S/MIME 帖子廣泛概述了組織在電子郵件安全方面面臨的挑戰，並介紹了可用於應對其中許多漏洞的 S/MIME 技術。 在這篇文章中，我們將更具體地討論如何使用 S/MIME 來對抗“魚叉式網路釣魚”攻擊。

商業電子郵件妥協 (BEC) 一詞在網路安全行業中廣為人知，但它僅指一種特定型別的魚叉式網路釣魚攻擊。 魚叉式網路釣魚攻擊使用偽裝成來自已知或受信任發件人的欺詐性電子郵件實施，其預期目標是促使受害者代表他們執行某些操作。

此操作可能像洩露機密資訊一樣簡單，也可能像完成金融交易一樣複雜。 魚叉式網路釣魚攻擊與標準網路釣魚攻擊的不同之處在於，魚叉式網路釣魚電子郵件針對收件人進行了個性化設定，從而增加了明顯的真實性，並使它們更難識別。

攻擊者如何使這些電子郵件看起來合法？ 他們可以使用多種策略。

• 大多數時候，電子郵件包含一個欺騙性的標題，使郵件看起來好像來自組織內部。 正如我們在之前的部落格中討論的那樣，這些攻擊通常通過欺騙電子郵件中的“發件人”欄位來實現，這使得即使是最盡責的員工也很難將這些訊息識別為欺詐郵件。
• 通常，他們會試圖冒充 CEO、公司總裁或其他 C 級管理人員，他們的許可權是初級或中級員工不太可能質疑的。
• 注重細節的攻擊者甚至可能在訊息下方生成一個完整的假電子郵件鏈，使其看起來更加合法。 儘管應該對員工進行觀察警告訊號的培訓，但人是容易犯錯的。

易錯性是攻擊者希望利用的。 如果一家公司的執行長要求一名入門級財務員工推動轉賬，該員工會願意舉旗嗎？ 如果同一封電子郵件傳送給十幾個不同的財務人員，他們是否都能成功識別出這封電子郵件是欺詐性的？

只需要一個錯誤——一名員工批准轉賬到詐騙者的賬戶——這筆錢幾乎肯定永遠無法追回。 騙子很聰明，他們收到的任何錢都會迅速藏到執法部門幾乎不可能拿到的地方。

S/MIME 以最簡單的方式解決了這個問題：通過提供郵件發件人真實身份的不可欺騙的指示。 如果沒有 S/MIME，普通電子郵件使用者將不知道如何檢視以區分真實發件人身份和偽造發件人身份。 使用 S/MIME，員工將知道只需查詢傳入訊息隨附的正確電子郵件簽名，即可知道發件人已通過驗證。 這並不意味著員工不再需要擔心——保持警惕仍然很重要。 請記住，一次失誤可能會導致重大違規。 但它確實提供了一種方法來驗證無法偽造的任何訊息（及其可能包含的任何附件）的完整性。

通過在您的組織中部署 S/MIME 電子郵件證書，您的員工現在可以立即驗證他們從您的組織成員那裡收到的任何郵件的來源，無論該電子郵件是否引起了他們的懷疑。 通過減輕員工的責任負擔並將其置於郵件客戶端本身，S/MIME 為您的資訊增加了一個關鍵的額外保護層，使其不受人為錯誤的影響。

有關詳細資訊，請閱讀我們的 S/MIME 101 部落格系列的五部分中的第一部分，為什麼電子郵件容易受到攻擊以及 S/MIME 如何提供幫助。