公司产品营销经理在某职业社交网站贴了张照片,结果照片背景中的一张便利贴上居然写着他的网络登录口令。或许肉眼难以看清,但AI算法可以。利用AI算法,黑客可以扫描公开渠道可得的图像,确定有没有网络口令,然后用这些口令来进行数据窃取。
每一天,各大安全资讯平台上曝光的网络安全事件排列得就像一本写满的流水账。有的漏洞完全是由于技术缺陷或不完善,而绝大部分则很大程度上和人的主观意识有关,属于员工自己“作”出来的问题。
根据美国电信业者Verizon发布的《2016年数据外泄调查报告》,在所有安全事故中大约有50%因内部人员而起。而30%的安全事故归因于员工的疏忽,比如或将敏感数据传给了错误的接收方,或对个人和医疗数据进行了不安全处理。约有20%的安全事故被认为是内幕者滥用事件,比如说雇员可能盗窃或从企业拥有或保护的信息中获利。
网络犯罪分子现在也许正在测试贵公司防火墙的防御能力,试图寻找一个发动攻击所需要的安全漏洞。通常这个漏洞可能并不是一个具体的“什么”,而是一个“谁”(内部人员)。
员工只需要下载一个不良附件,点击一个恶意链接,或者给攻击者发送一条关键的破解信息,企业的安全便荡然无存。其实,安全不是只会影响个人的小事情,而是承担着影响整个企业业务发展的重任。
Social-Engineer公司首席运营官Michele Fincher表示:“公司需要意识到,员工每天接听电话以及回复电子邮件这样的举动,实际上都可能会影响公司业务安全。而他们没有意识到员工需要做出多少正确的实践才能确保公司业务安全。”
Fincher说:“只是在年度培训课程中解决安全问题还远远不够。如果你每年只对员工在安全方面进行一次培训,员工仍然有可能会对企业安全方面造成非常严重的危害。”
社会工程攻击也很难区分合法和恶意活动。过去,网络犯罪分子需要更多技能才能发动攻击。现在,他们可能会通过社交网络、电话和电子邮件等发动攻击。他们也可能只是进行监视而不会直接发动攻击。
正如Social-Engineer公司首席执行官Chris Hadnagy所言,“对于一个黑客而言根本没有进入的门槛。”。
以下是攻击者用来入侵企业员工的七种常见策略。希望您可以与您的团队分享这些信息,让他们真正地了解自己如今面临的网络危险以及黑客可能会藏身何处。
社交网络
网络安全威胁遍及所有社交网络,但是SAS的网络研究和开发副总裁Bryan Harris认为:一些平台可能比其他平台承担了更多的风险。
Bryan Harris解释称,“LinkedIn是攻击者获取财富最大的来源之一。使用社交媒体平台的心理是非常复杂的,因为它具有双重性质:一方面你想借助它扩大你的影响力,为你的职业生涯带来帮助;另一方面,由于你不知道网络那端的人是谁,可能会增加你受到黑客攻击的可能性。”
关于是否注册LinkedIn,员工面临一个选择。如果他们选择接受,那么他们或许会受益于其中添加的新的联系人,或许会让未经授权的攻击者访问他们的专业网络,从而扩大了他们的攻击面。特别是具有大型社交网络的员工,如营销和公关部门的员工在建立新联系的同时,其被攻击的可能性也会增加。
像LinkedIn一样,Twitter这样的大型社交网络平台也具有很大的社会工程风险,因为攻击者的进入门槛较低。Harris解释说,Facebook和Snapchat也面临这些的挑战,但是人们一般不会接受他们并没有见过面的陌生人的申求。在Twitter和LinkedIn上,人们会根据彼此的兴趣和专业建立联系。攻击者可以利用这一点,向目标发送一些看似合法但非法的私信。
假冒身份
今天的你有没有通过朋友圈或是微博向别人分享自己的生活点滴?是的!如今的我们生活在一个到处分享自己在做什么的世界中。攻击者只需要访问一些社交网络,就可能将一个人完整的生活资料整合在一起。虽说Facebook的进入门槛可能较高,但其公开的个人资料仍然提供了大量的有用信息。
Hadnagy说:“Facebook、Twitter、LinkedIn和Instagram,这Top 4社交网络平台的帐户几乎可以透露关于你的一切信息:家人、朋友、喜欢的餐馆、音乐以及兴趣等。将所有这些资料整合在一起,你可以想象这对于攻击者而言是多么强有力的武器吗。”
他说,所有员工都容易遭受身份假冒威胁,C级管理人员以及访问个人资料的高级管理人员面临的安全风险最大。关键是要整个企业的人员始终保持安全意识,每个人都要对这种类型的活动保持高度警惕。
PassiveTotal联合创始人兼RiskIQ研究员Steve Ginty警告称:“大多数情况下,任何人都可以创建一个帐户,并假冒成其他人。”
他提出了几个值得深思的问题:员工如何确认他们正在联系的人是谁?他们的同事有多少人与这些人有关系?这个人过去曾经被别人冒充过吗?
同样值得注意的是,如果有人过去曾经被别人冒充过,那么将来他们还是有再次被冒充的可能性。如果员工收到身份以前被冒充的人的请求,我想他/她应该花些时间进行调查后再决定是否答应其请求。
阅读你的公司网站获取信息
当然,黑客也可能在社交网络之外搜寻潜在受害者的情报。其中你的公司网站就可能会为黑客未来的入侵活动提供情报“帮助”。
Ginty解释说,“即使他们不知道攻击的途径,但是如果他们已经通过开源手段积累了大量的情报,那么他们可能会针对一家特定的公司,因为他们有更多该公司员工资料。”
Harris补充说,“许多企业会在公司官网上发布关于其领导者、董事会成员以及其他员工的信息。如果攻击者知道该公司的电子邮件模式——他们只需要一个地址就可以轻松地找出公司高管的联系信息,并将其定位到垃圾邮件中。”
他们收集到有关企业领导的个人信息越多,那么他们的攻击就越可信,越容易实现。Ginty说,“在特定会议或公开演讲活动中的人们提供了创建社会工程和网络钓鱼电子邮件的渠道,因为这些邮件对最终用户更为可信。”
商业网站是最容易获取有价值信息的地方,可以推动社会工程攻击顺利实现。Harris说,“我们需要更加巧妙高效地工作,了解正在与我们交谈的人是谁,以及我们应该如何正确地公开发布信息等。”
电话诈骗
Social-Engineer公司的Fincher说,“语音电话诈骗(vishing)是一种危险的、低成本的、以及越来越常见的针对受害者的攻击方式。她解释说,她会经常打电话给客户来进一步了解其内部系统,以便知道在哪里发现问题。”
网络犯罪分子也可以做同样的事情。攻击者通常以新客户为幌子与企业联系,要求他们提供相关信息。如此一来,他们就可以收集到有关企业系统和当前问题的大量信息,并利用这些信息进行诈骗。
这是一个非常迫切的问题,因为这些类型的攻击是非常难以察觉的。
Hadnagy说:“如果黑客够聪明,人们就不会察觉自己正在一步步落入攻击者的陷阱。因为足够机智的攻击者会把诈骗电话伪造成一次非常正常的对话。”
然而,没有经验的黑客可能会露出马脚,只要员工注意几个警告标志就可以区分。有些黑客可能会在短时间内拨打太多电话来进行诈骗;其他人可能会在与他们的受害者建立融洽关系之前就提出某些要求,引起受害者对诈骗活动的怀疑。
伪装的“友好”
如果员工随意信任陌生人可能使企业陷入危险。通常,攻击者可以在无法被识别的情况下强迫人们发送信息。因为公司没有正确的身份验证程序,或者他们根本没有使用它。
Fincher解释说:“如果你用友好的声音以及合法的电话号码呼叫对方,人们一般不会提出怀疑,因为他们认为验证别人的身份或请求是无礼的行为。”
Hadnagy举了一个例子,一名黑客假装成美国国税局的工作人员打电话,他们指称受害人有一份迟交的税单,并威胁要逮捕受害人。也有黑客声称是Microsoft公司的服务支持人员,来关闭用户的恶意流量。但是在取得受害人信任和授权后,他们就开始收集目标电脑中的信息。
安全措施完善的公司会给予员工适当的安全政策和指导,告诉他们如果对方要求提供进一步的信息,他们可以采取看似没礼貌的方式进行处理。这也给了他们一个理由,解释了为什么他们需要验证呼叫者的身份,除非对方身份验证通过,否则绝不可轻易透露有关公司的任何数据信息。
发送follow-up电子邮件
黑客可能会结合威胁和网络钓鱼等手段,创建一个几乎无法防范的骗局:他们会先致电给受害者介绍自己,然后表示会发送一封follow-up电子邮件至受害者邮箱,通过邮件中的恶意附件发起网络钓鱼攻击。
想要防范这样的骗局非常困难,因为你不能告诉员工不要接听手机。但是,你可以告诉员工避免点击链接或下载未经验证的发件人的附件,而且遇到过于个人化的电子邮件也需要格外注意。
在更深入的层面上,员工可以通过评估电子邮件地址,主题行和邮件格式的方式来发现网络钓鱼攻击,比如以前的网络钓鱼攻击中使用的电子邮件可能再次用于网络钓鱼。
Ginty说:“我们经常在钓鱼攻击中看到相似之处,攻击者针对大量个人发送电子邮件,并留下可用于识别未来网络钓鱼的标记。这些标记可能包括电子邮件正文、链接或网站中使用的语言。企业可以记录以前使用的域名,以及尝试攻击的类型,以便将来进行参考。”
Harris说:“需要注意网络钓鱼链接是恶意软件传送的第一步。如果从某位同事发出来的一封电子邮件并没有按通常的邮件格式进行书写,请立即发一封快速报告(quick note)咨询该邮件是否合法。”
利用员工压力
Hadnagy解释说:“重压之下的员工无法做出正确的决策。如果有人已经不堪重负,他们可能会对没有验证对方身份的人传递敏感信息。”
他回忆称,有一个客户他们呼叫中心有一项非常严格的规定:在一个电话上花了超过90秒的员工需要自己支付电话费。仔细观察后我们发现,员工都在快速地发送信息,很明显,他们想尽快结束通话,以免自己支付电话费。
Hadnagy指出:“知道这一点的黑客就会创造很大的环境压力,来实现获取信息的目的。因为当我们受到压力时,就可能做出错误的决定。虽然不是所有的雇主都有这样严格的政策,但是每个公司都会对员工进行业绩评估,其产生的压力应该也不会小到哪里去。”
相对于科技技术中的设计缺陷和漏洞而言,内部人的操作失误以及管理疏忽所带来的安全威胁则显得更加的关键。以下总结的攻击者用来入侵企业员工的七种常见策略,希望可以帮助您和您的团队真正地了解自己如今面临的网络危险以及黑客可能会藏身何处,有效地进行安全防范。
