看到一篇文章谈到愚人节和Phishing(电子诱骗),不由想到公司里进行的反Phishing演练。每隔一段时间,公司的网络安全部门就会送出phishing电子邮件,其种类繁多,五门六道。有冒充快递公司的,说你的下单有问题;有通知你中奖的,让你提供资料领奖;有提供销售福利的,让你认证。一旦你上当,回了电邮,或者点了里面的link, 你就中彩了。马上就会看到颜色鲜艳的警告信息,靠诉你违反了公司的规定,会对公司带来巨大损失。同时你也立马上了黑名单,你的老板也会被马上告知。老板一般会找你谈话,予以训斥,最倒霉的情况,中招会在年底的performance review 中被提到,甚至被用来压低你的评分。记得有一次公司的保安部门走的太远,发了一个phishing电邮,冒充人事部门但用的是非公司的网络地址,电邮的标题说是说T4有问题,很多人中招,结果招来公愤,安保人员不得不道歉。大家说如果测试邮件是说家里人遇到紧急情况,会有更多人中招,不能如此培训。后来读电邮时养成了习惯,只要不是公司的短信,一律作为phishing短信,转给公司网络安全部门,由他们先认定,把责任推给他们,让他们保险。一般公司的测试phishing邮件,会同时发给公司内的许多人,一旦被识破,当你选择它是phishing邮件时,会说谢谢你的合作,请不要靠诉你的同事。但许多同事还会互相转告,防止上当受骗。最可笑一次,老板自己中招,说是刚从Amazon下了单,结果收到公司冒充快递公司的phishing电邮。老板为了防止自己的下属上黑名单,影响声誉,还是嘱咐下属留意。大家在底下偷偷发笑,不乏幸灾乐祸。美国公司在网络安全上花费了巨资,特别是金融公司。这也是万不得已,一旦公司网络被攻破,就可能会被敲诈勒索,不但破财,还会影响声誉。但网络安全也给工作带来许多麻烦,特别是作IT的,大大增加了工作的难度。如果需要访问有安全易患的网址,要用即时产生的密码。许多公司内部网址要有访问权,还需要定时更新,更不要说获取和更新那些网络的钥匙的麻烦。但同时身为提供网络服务公司的客户,还是希望各个公司做好顾客资料的安全保护。