很多信息安全专家认为，如果老练的攻击者瞄准企业内一个高价值的人作为鱼叉式网络钓鱼攻击的一部分，鉴于当今的安全控制、流程以及对于攻击如何发生的安全意识，这名攻击者应该会成功。

　　CloudFlare公司的首席执行官证明了这一点。让我们简单地回顾一下，CloudFlare公司使用谷歌的Gmail账户来登录Google Apps，用以管理CloudFlare产品中的客户数据。通过一系列预先计划的活动，攻击者获取了对这名首席执行官账户的控制，并发起攻击，最终成功获取了CloudFlare的一名客户的信息。毫无疑问，这对于任何企业而言，都是最糟糕的情况。

　　用户账户安全：错误和最佳做法

　　攻击者的第一步是获取该CEO的Gmail账户信息，这不仅让他或她可以控制该CEO的电子邮件，而且还可以通过简单的登录，获得对其Google Apps工具的控制。很显然，这名CEO使用了简单的电子邮件地址，用于外部通信以及访问Google Apps账户。大多数企业在其企业网站中公布了其高管的名字，并且大多数企业使用与名字相关的简单的电子邮件地址（例如jsmith@gmail.com或者john.smith@gmail.com），攻击者只需要向这些名字变体地址发送一些钓鱼电子邮件，就可以确定他或她的电子邮件地址。这也是获取该账户控制权的第一步。

　　我们可以通过两种方法来阻止这种用于确定电子邮件账户名称的鱼叉式网络钓鱼攻击。由于所有企业邮件系统都有“白页”或者某种形式的目录，企业不需要内部员工知道互相的电子邮件地址。因此，企业应该采取的更好安全控制是：使用与实际用户名字不太相关的电子邮件地址。例如，使用员工名字的缩写，并在后面添加四个或五个随机数字（例如jps29581@gmail.com），这样的话，鱼叉式钓鱼攻击几乎不可能成功。对于使用电子邮件地址作为访问企业数据（例如Google Apps）的凭证的系统，确保攻击者无法获取访问权的第二种方法是：使用一个电子邮件账户用于外部通信，使用另一个单独的电子邮件账户（或更多账户）仅用于访问重要应用和数据。即使在云环境中，使用与个人不相关的电子邮件账户名称都能够阻止外部人员发现（并可能破坏）该账户。在CloudFlare的案例中，如果使用jps2958@gmail.com作为电子邮件账户，并使用单独的账户（例如torbox3953@gmail.com）用于Google Apps访问将让攻击者无法找出CEO的电子邮件账户。