黑客們怎樣選擇惡意攻擊受害者？這個看似普通的問題在IT安全領域卻一直受到極大的誤解，而且這種誤解往往使得企業管理者最終制定出完全錯誤的安全防御方針。

從一般的分析邏輯判斷，網絡犯罪分子跟大多數銀行劫匪并無不同——哪里有錢，他們就撲向哪里。因此他們也喜歡把目標設定在銀行或者其它金融服務公司身上——由于這些企業掌握著大量信用卡數據，攻克了它們就等于接管了用戶的錢財，對吧？而且別指望著企業的龐大規模能夠幫上什么忙，正所謂槍打出頭鳥，大企業管理的敏感信息更多、所以也更可能被犯罪分子盯上。

根據同樣的分析過程，我們也能夠找到那些可能受到攻擊的終端用戶。假如我們把自己放在攻擊者的立場，那么必然會選擇那些執行權限較高的領導、個人資產雄厚的富翁或者是擁有多套系統訪問資格的IT管理員。保護好這些重要用戶也是實現整體安全性的關鍵性措施。

雖然這些假設都完全符合邏輯，但我得提醒眾列位：這可都是一派胡言，跟實際情況完全不挨著。

事實上，大多數網絡犯罪分子根本就沒有這么周密的攻擊目標甄選計劃。沒錯，各家銀行確實掌握著大量交易信息，但這并不代表只有金融行業才是下黑手的好對象。賣快餐批副食的、搞工程進水泥的，但凡跟大筆資金沾邊的企業都有足夠的油水可撈，而且這些與IT技術八竿子打不著的對象往往還疏于防備。

除此之外，認為網絡犯罪分子只會瞄準大企業的想法也屬于一廂情愿。雖然大型企業坐擁巨資、財大氣粗，但他們同樣也擁有組織嚴密、技術高超的安保團隊，而且肯在風險防范工作上花大錢。反觀中小型企業，不僅缺乏足夠的安全技術，在防御體系預算方面也捉襟見肘，這讓他們成為黑客眼中唾手可得的“人傻錢多”。平心而論，人都有懶性，攻擊者也希望能“小成本贏得大產出”。正因為如此，我們才常常在各IT門戶網站上看到中小型企業慘遭攻擊、數據及財務信息意外泄露等負面消息。

網絡犯罪分子喜歡唾手可得的目標——那些疏于防范、缺乏安全技能又漏洞滿滿的終端用戶是危險系數最高的倒霉蛋。

網絡犯罪分子目標何在？

在終端用戶方面，類似的謠言及虛假經驗同樣不絕于耳。盡管從邏輯角度來分析，為CEO以及密碼管理者配備更多附加保護手段似乎非常必要，但事實證明網絡釣魚者及其它惡意人士根本不會將這類特殊群體當成首先攻擊目標。精明的網絡犯罪分子明白，他們根本沒必要苦心破解CEO的安全保護體系，還有很多方式能夠訪問到企業中的敏感數據。舉例來說，首當其沖的應該是公司里職級較高的員工、項目主管甚至是與這些員工關系密切的家伙，這才是最合適的下手之處。惡意人士并不會刻意選擇目標，他們只會逐步摸索信息的走向，并以廣撒網的形式慢慢撈到大魚。

網絡犯罪分子喜歡唾手可得的目標。他們喜歡將矛頭指向那些疏于防范、缺乏安全技能又漏洞滿滿的終端用戶，并以此為跳板最終擊垮整個企業。他們躲在自己的電腦前尋覓沒有鎖定的后門與開放的窗口——大家別再活在自己的想象中了，有錢不一定招賊，但門都不關那就等著倒霉吧。

雖然網絡犯罪分子盯上我們的原因多種多樣，但其中的道理都是相通的：只有沒生意、沒油水的公司才無人問津。時至今日，無論是像索尼那樣的電子巨頭還是普通的民間小作坊，都有可能成為下一個攻擊目標。我們不能再繼續抱有幻想，惟一的解決方案就是加強安保機制、制定應對措施，這也是決定企業未來生存或是滅亡的關鍵決策。#p#

實例：由來自俄羅斯的“Ivan”發給您的郵件

“您好，幾分鐘之后我會對您的網站發起DDoS攻擊，相信我，整套體系都會立即癱瘓，”郵件這樣說道。“如果您不想承受由此引起的損失，請盡快付費——惠承3500美元，謝謝！”

Endless Wardrobe這家澳大利亞在線服裝零售企業在收到這樣一封郵件后果斷拒絕，于是遭受到猛烈的網絡攻擊。正如威脅郵件中所說，該公司官方網站瞬間被大量偽造的信息請求所淹沒，而且整整一周無法正常工作。盡管Endless Wardrobe公司第一時間聯系了托管服務供應商，希望能夠緩解攻擊帶來的影響，但由供應商提供的請求過濾機制同時把不少正常的客戶購買指令屏蔽在外。

這家由三位全職員工和三位兼職員工組成的小型零售企業在此次攻擊活動中不僅損失了至少數千美元，還激怒了很多忠實客戶——該公司總經理Andrew Burman沉痛地指出。

“在這次攻擊發生之前，我一直以為像我們這樣的小公司不會被人盯上，”Burman表示。“我聽過不少網絡攻擊啊、惡意活動之類的傳言，但從沒想過那些黑客會拿小型企業開刀。在我的印象里，他們都是技術天才，只會去找大公司或者在線博彩網站的麻煩，那些金主帶來的回報不是更高嗎？”

與Burman一樣，大多數中小型企業的管理者根本不相信自己會有遭遇網絡犯罪活動的一天，當然很多公司可能一輩子也沒遇上過像Endless Wardrobe這樣的悲慘經歷。但這并不代表管理者可以高枕無憂，把自己的名字從安保計劃清單中輕松劃掉。在去年由賽門鐵克公司組織的一份調查報告中，共有26000多家企業受到惡意侵襲，其中半數以上都是員工少于2500人的中型企業，18%則為員工少于250人的小型企業。從拒絕服務攻擊搞垮網站到木馬程序盜取銀行賬戶，過去的一年對于中小型企業而言可謂多災多難，而且大部分受害者根本不知道要如何抵御這些攻擊。

并不是只有像Amazon這樣的電子商務巨頭才會面臨威脅，“反倒是那些員工數量只有幾百甚至更少的小企業最為危險，”網絡安全企業CloudFlare公司CEO Matthew Prince指出。CloudFlare是一家專門提供安全服務的公司，主要幫助客戶避免像Endless Wardrobe事件那樣的慘劇，但頗具諷刺意味的是，他們也成為了中間人攻擊活動的受害者。當時黑客們劫持了這家只有36位員工的安全企業的谷歌托管郵箱系統，并借此獲得設備恢復密碼，最終攻入CloudFlare核心系統奪取了企業及客戶的敏感數據。在這次事件中，惡意人士的最終目的是利用郵件訪問取得對客戶賬戶的控制權。事實上那家伙差一點就成功了。

根據Prince的說法，那位實施攻擊的罪犯“技術很強，非常善于奪取郵件系統的主控權。”

前面提到的還只是小型企業所面臨的一部分風險，隨著意識的加深，大家會逐漸意識到網絡犯罪居然是如此龐大且包羅萬象的新世界。對于大多數管理者而言，幫助企業以更低的資金投入擁有更具效率的在線運營方案絕對是上佳之選，但這些新措施也將小企業拖入了安全問題的無盡泥潭。

約有90%的中小企業會使用網上銀行、賬戶管理及金融服務等功能，雖然這讓日常運營變得更加輕松，但也等于為攻擊者打開了一道闖入的大門。另外，許多中小企業喜歡跟風，嘗試允許員工將自有設備帶到辦公環境中來并接入內部網絡。以為這很正常？在Sophos 2012網絡安全調查報告中，全球范圍內超過570位頂級IT決策者中超過40%對BYOD現象表示擔憂，認為目前企業還沒有做好足夠的準備來應對可能出現的信息安全問題。

“小型企業更容易遭受攻擊，因為他們資源有限、不可能拿出大量預算來支持防御體系，”McAfee安全公司全球渠道運營部門高級副總裁Gavin Struthers指出。“但這也是沒辦法的事，大多數小企業的賣點就在于網上業務和移動連接特性，一旦失去了這些功能，他們的業務根本無法開展。”

為了能讓有限的資源應付無窮的安全保護需求，中小企業往往不得不忽略掉各類潛在的威脅。最理想的保護措施在于防患于未然，制定策略將問題消滅在萌芽狀態。