如果小说《白鲸》中的亚哈船长是一名现代网络罪犯，那么，他的白鲸可能是企业首席执行官。在一种称为鲸钓（Whaling）的集中式网络钓鱼攻击中，黑客通过个性化定制的活动瞄准高级终端用户，欺骗他们以获取访问权限、信息或两者皆有。

威斯康星大学系统首席信息官Nicholas Davis说：“那些企业高管通常也是非常公开的人，这是基于其职业的性质。”他补充说，这种可见性使他们更容易受到个性化攻击，即鱼叉式网络钓鱼。

高价值目标意味着巨大收益

电子发现软件公司Relativity信息安全意识负责人Linda McGlasson补充说，高管们可广泛且深入访问敏感数据和金融资产，这使得他们成为高价值目标。根据Verizon的2019年数据违规调查报告显示，鲸钓攻击正在增加，高级管理人员成为社会工程攻击目标的可能性是前几年的9倍。而且，与其他员工相比，现在高级管理人员成为网络罪犯目标的可能性高出12倍。

她表示：“他们通过社交媒体（LinkedIn、Facebook、Instagram、Twitter）以及任何其他地方对他们的目标进行广泛的背景研究。他们想要了解目标的习惯、他们喜欢什么、他们吃什么餐馆，甚至他们喜欢喝的葡萄酒。”

然后，网络罪犯可能会利用这些信息来制作一个令人信服的社会工程活动，例如，一封看似来自CEO最喜欢的牛排馆的诱人促销电子邮件。只需一次快速点击，最终用户就可能为攻击者打开大门，引发灾难性数据泄露事故。

McGlasson 称：“网络罪犯使用这些诱饵建立信任，这种攻击的发生表明它行之有效。”

她补充说，对此，针对高管的有针对性的安全意识培训会很有效，可帮助领导者识别鲸钓攻击并对潜在威胁做出适当反应。

鲸钓攻击：不要接受诱饵

McGlasson建议，根据高管的可见性和他们可访问数据的价值，与他们沟通为什么他们会成为有吸引力的网络钓鱼目标，从而开始对高管的安全意识培训。

她表示：“有些人会想，’为什么他们想要我的信息？嗯，你的信息比你想象的更有价值。”

当高级终端用户了解他们在保护公司数据安全方面的重要性后，McGlasson说她会努力向他们灌输一种健康的怀疑和质疑态度。

McGlasson说：“我们希望他们会有这样的疑问，‘为什么有人给我发这封电子邮件？这是我认识且见过面的人吗？’”并补充说，对于手机通信，也应该有相同的审查。拨打电话的人知道高级最终用户的号码并不意味着他们是可信的。

最后，她建议为高级管理人员提供安全意识培训时，尽可能简短。

她表示：“他们的时间非常有限，所以必须是非常集中快速的信息。”

作为其更广泛的安全意识战略的一部分，Relativity的网络安全团队会通过网络钓鱼模拟程序对所有员工（从新入职员工到C级）进行模拟网络钓鱼活动。他们的模拟电子邮件是基于最近截获的真实世界示例，从而创建逼真的训练练习，以跟上网络犯罪分子不断变化的策略。在模拟训练中，点击可疑电子邮件的收件人百分比，即失败率，还可以提供有关企业风险级别和安全培训需求的宝贵见解。

McGlasson的团队每个月还会开展更为针对性的鱼叉式网络钓鱼或鲸钓活动，专门针对她所谓的“高价值用户群体”-高层管理人员，以及其他可以访问敏感数据的人，例如财务和人力资源部门的行政助理和管理人员。

她称：“我们看到了很好的结果。”

每个人都是目标

然而，McGlasson和Davis都强调，企业中的每个人都面临风险，从新入职雇员到CEO。

Davis称：“在某些方面，高管面临的威胁实际低于普通员工，因为他们不会像会计师那样经常访问薪资系统，也不会像中级管理员那样频繁访问旅行报销系统。”

McGlasson说，最终，每个人都需要学会对威胁或奉承或具有特殊紧迫感的信息保持警惕。

Davis同意道：“你必须提前教育他们，每个人都易受攻击。”