人为的漏洞,也许只需员工下载一个不良附件,再点击其恶意链接,或者给攻击者发送一条重要信息。因此,安全不再是简单的事,而是一个可能对公司业务产生影响的事件。
Social-Engineer公司首席运营官Michele Fincher表示:“公司需要意识到,他们的员工每天拿起电话和回覆电子邮件,实际上都是在做出影响公司业务安全的决定。但他们没有意识到员工需要做出许多好的决定才能确保公司业务安全。”
Fincher说,只是在年度培训课程中解决安全问题还远远不够。“如果每年只对员工在安全方面培训一次,那么员工仍然可能对企业造成安全方面的严重危害。”
社会工程攻击也很难区分合法和恶意活动。过去,黑客需要更多技能才能发动攻击。现在,他们可能会通过社交网络、电话和电子邮件发动攻击。他们也可能只是进行监视而不会发动攻击。
正如Social-Engineer公司首席执行官Chris Hadnagy说,“这些对黑客而言没有门槛。”
以下是黑客用来定位并攻击公司员工的七种常见方式。只有让员工做到知己知彼,才能使他们了解自己的网络危险以及黑客藏身何处。
一、使用社交网络
网络安全威胁遍及所有社交网络,SAS(STATISTICAL ANALYSIS SYSTEM)的网络研究和开发副总裁Bryan Harris认为,一些平台可能比其他平台承担了更多的安全风险。
“LinkedIn是黑客获取财富的最大来源之一,”他说。“使用社交媒体平台可能是把双刃剑。一方面你可以借助它扩大你个人的知名度,对于你的职业生涯带来帮助,但它也会增大你受到黑客攻击的可能性。”
每个员工都可以选择通过LinkedIn进行申请。如果他们申请成功,那么他们可能受益于其中添加的新的联系人,不过也可能增大受到黑客网络攻击的机率,特别是营销和公关部门的员工进入大型社交网络,他们被攻击的可能性会更高。
像LinkedIn和Twitter这样的大型社交网络平台,都具有很大的社会工程风险,因为对于攻击者而言进入门槛较低。Harris解释说,Facebook和Snapchat也面临这些挑战,不过一般情况下人们不会接受他们并不熟悉的人的申求。在Twitter和LinkedIn上,人们根据彼此的兴趣和专业建立联系,利用这一点,攻击者可以直接将看似合法但非法的消息进行发送。
二、假冒身份
我们生活在这样一个世界,你可以通过多种方式告诉大家自己在做什么。攻击者只需要访问一些社交网络,就可能将一个人的全部生活资料整合在一起。即使Facebook具有更高的安全性,但其公开的个人资料仍然提供了大量的有用信息。
Hadnagy说:“Facebook、Twitter、LinkedIn和Instagram,这些位列前四大社交网络平台的帐户几乎可以透露你的一切:家人,朋友,喜欢的餐馆,音乐,兴趣等。如果有人将你个人的所有这些资料整合在一起,那么你可以想象一下后果如何。”
他说,所有使用社交网络的员工都容易遭受身份假冒,C级管理人员以及访问个人资料的高级管理人员将面临最大的风险。避免身份假冒的关键是要整个企业的人始终保持安全意识,每个人都要对这种类型的活动保持高度警惕。
PassiveTotal和RiskIQ研究员的联合创始人Steve Ginty警告说:“大多数情况下,任何人都可以创建一个帐户,并假冒别人。”
他提出了几个重要问题:员工如何确认他们正在联系的人?他们的同事有多少人与这些人有关系?这个人过去曾经被别人冒充过吗?
同样值得注意的是,如果有人曾经被别人冒充过,可能会在将来再次被冒充。如果员工收到身份以前被冒充的人的请求,应该花时间进行调查。
三、通过公司网站获取信息
当然,黑客也可能在社交网络之外搜寻潜在受害者的资料。比如你的公司网站可能会给黑客提供“帮助”。
“即使他们不知道攻击的途径,如果他们通过开源手段积累了大量的机会,那么他们可能会针对一家特定的公司,因为他们有更多该公司员工资料,”Ginty解释说。
Harris补充说,许多公司在其网站上刊登了他们的领导、董事会成员以及其他员工的信息。如果攻击者知道该公司的电子邮件模式(他们只需要一个地址就可以这样做),那么他们就可以轻松找出公司高管的联系信息,并将其定位到垃圾邮件中。
如果他们可以收集到领导的更多个人信息,那么他们的攻击更容易得逞。“在特定会议或公开演讲活动中的人们提供了创建社会工程和网络钓鱼电子邮件的渠道,这些邮件对最终用户更为可信,”Ginty说。
四、电话诈骗
Fincher说,语音电话诈骗是一种危险的、便宜的、越来越常见的针对受害者的攻击方式。她解释说,她会经常打电话给客户进一步了解其内部系统,以便知道在哪里发现问题。
黑客也可以做同样的事情。黑客通常以新客户为幌子与企业联系,要求他们提供信息。这样黑客就可以收集到有关企业系统和当前问题的大量信息,并利用这些信息进行诈骗。
因为这些类型的攻击是非常难以察觉的。Hadnagy说:“如果黑客够聪明,人们就不会知道他们针对谁进行攻击。“有些诈骗电话听起来就像一次正常的对话。”
然而,没有经验的黑客可能会出现纰漏,只要员工注意几个警告标志就可以区分。有些黑客可能会在短时间内拨打太多电话来进行诈骗。之前接过诈骗电话的人可能会发出信息,使后面接听诈骗电话的人对这样的诈骗活动产生怀疑。
五、信任的危害
如果员工随意信任陌生人可能使企业陷入危险。通常,黑客可以强迫人们发送信息而无法识别自己,主要由于公司没有正确的身份验证程序,或者他们不使用它。
Fincher解释说:“如果你用合法的电话号码呼叫对方,人们就不会提出怀疑,因为他们认为验证别人的身份或请求是无礼的。”
Hadnagy举了一个例子,黑客假装成美国国税局的工作人员打电话,他们指称受害人完税太晚,并威胁要逮捕受害人。也有黑客声称是Microsoft支持人员,取得受害人信任并授权后开始对其电脑进行远程访问获取信息。
完善的公司会给予员工适当的安全政策和指导,告诉他们如果对方要求提供进一步的信息,他们可以采取另一种方式进行对待。这也侧面给员工解释了为什么他们需要验证对方身份,除非对方身份验证通过,否则将不会提供进一步的信息。
六、发送电子邮件附件
黑客可能会通过威胁和网络钓鱼等诈骗手段,使得受害者防不胜防:他们会向受害者电电话介绍自己,并在电子邮件中捆绑附件,用于发起网络钓鱼攻击。
这样的骗局很难防范,因为你不能告诉员工不要接听手机。Fincher说:“因此,我们在给员工讲安全计划时不能过于模糊。”
但是,你可以告诉员工避免点击链接或下载未经验证的发件人的附件。员工可以通过评估电子邮件地址,主题行和邮件格式的方式来发现网络钓鱼攻击,比如以前的网络钓鱼攻击中使用的电子邮件可能再次用于网络钓鱼。
“我们经常在钓鱼攻击中看到相似之处,”Ginty说。“黑客针对大量个人发出的邮件中,留下了可用于识别未来网络钓鱼的标记。”这些标记可能包括电子邮件正文、链接或网站中使用的语言。企业可以记录以前使用的域名,以及尝试攻击的类型,以便将来进行参考。
Harris说,可疑的电子邮件也可能表示犯错,网络钓鱼链接是恶意软件传送的第一步。如果从某位同事发出来的一封电子邮件并没有按通常邮件格式书写,那么就可以发一份快速报告询问该同事这封邮件是否合法。
七、利用员工压力
Hadnagy解释说,如果有员工不堪重负而做出错误的决定,他们可能会对没有验证对方身份的人传递敏感信息。
他回忆说,一个客户对他们的呼叫中心有严格的规则:在一个电话上超过90秒,那么该员工将自己支付电话费。在仔细观察中发现,员工都在快速地发送信息,因为他们想尽快结束通话,以免从工资中扣除电话费。
Hadnagy指出:“如果黑客了解到该公司的这一规定,那么他们就可能会利用这一规定。因为当我们受到压力时,就可能做出错误的决定。虽然不是所有的雇主都有这样严格的政策,但是他们还是要正确评估员工的工作量,以免产生类似的压力。
内部威胁已经成为当前网络安全威胁的重点防范方向,内部威胁既可能是公司员工故意为之,也可能是被黑客攻陷造成。以上7个方面就是由于黑客对公司员工攻击造成的结果,因此,作为公司而言,加强员工网络安全意识和知识的培训已经刻不容缓。往往攻陷不是外部造成,而是内部使然。