培訓(xùn)也培訓(xùn)過(guò)了,模擬網(wǎng)絡(luò)釣魚(yú)測(cè)試也測(cè)試過(guò)了,海報(bào)、游戲、電子郵件等等各種提醒方法都用遍了,但員工們依舊數(shù)年如一日地被同樣的騙術(shù)耍得團(tuán)團(tuán)轉(zhuǎn)。簡(jiǎn)直快把安全團(tuán)隊(duì)逼瘋了。
威瑞森《2016數(shù)據(jù)泄露調(diào)查報(bào)告》指出,30%的網(wǎng)絡(luò)釣魚(yú)消息都被它們的既定目標(biāo)打開(kāi)了,其中12%的收家還會(huì)繼續(xù)點(diǎn)擊惡意附件或惡意鏈接,讓攻擊得以完美收官。1年前,只有23%的用戶打開(kāi)了那些郵件,也就是說(shuō),員工對(duì)釣魚(yú)郵件的分辨力甚至還下降了,或者,壞蛋們找到了更有創(chuàng)意的方法引誘用戶。
由人為失誤引起的安全違規(guī)后果比以往更為嚴(yán)重。首先,勒索軟件的頭號(hào)拐點(diǎn),就是通過(guò)網(wǎng)絡(luò)釣魚(yú)攻擊進(jìn)行。進(jìn)而,一小撮網(wǎng)絡(luò)黑幫不斷擴(kuò)展他們的網(wǎng)絡(luò),向更多用戶投遞更多騙局,引來(lái)更多上鉤的魚(yú)兒。
邁卡菲實(shí)驗(yàn)室2016年9月威脅報(bào)告指稱,今年上半年,僅一個(gè)勒索軟件網(wǎng)絡(luò)黑幫就成功斂取1.21億美元贖金,凈利潤(rùn)9400萬(wàn)美元。2016上半年勒索軟件比去年同期增長(zhǎng)了128%。有130萬(wàn)新勒索軟件樣本被記錄,創(chuàng)邁卡菲自開(kāi)始追蹤以來(lái)新高。
看一看員工們至今仍會(huì)落入陷阱的5大社會(huì)工程騙局,便不難看出它們的引誘力。可謂涵蓋了大多數(shù)員工都有的社會(huì)工程七宗罪:好奇、禮貌、輕信、貪婪、輕率、羞怯和冷漠。
很多安全事件都可歸罪于人類本性,但還是有方法可以幫助員工改掉壞習(xí)慣,避免上當(dāng)。
1. 看起來(lái)挺正式
看起來(lái)與工作相關(guān)的貌似正式的電子郵件——主題行一般是“發(fā)票附上”、“您需要的文件”、“請(qǐng)看一下簡(jiǎn)歷”等等。這種郵件依然有員工會(huì)被迷惑。
Wombat Technologies 進(jìn)行的一次調(diào)查發(fā)現(xiàn),員工在收到涉及禮品卡通知或社交網(wǎng)絡(luò)賬號(hào)之類的“消費(fèi)者”郵件時(shí),會(huì)比對(duì)看起來(lái)工作相關(guān)的郵件更為警惕。顯示“緊急電子郵件口令修改請(qǐng)求”的主題行,有28%的平均點(diǎn)擊率。
大多數(shù)人都不仔細(xì)檢查郵件出處就點(diǎn)開(kāi)了,然后他們的機(jī)器便可能被黑客拿下,或者感染病毒。
尤其是你正與分包商或合作伙伴就某項(xiàng)目交換文件時(shí),真的應(yīng)該用安全文件傳輸系統(tǒng),以便確切知道文件來(lái)源,明確該文件已被審查過(guò)。收家應(yīng)該特別小心那些要求用戶開(kāi)啟宏的文件,這有可能導(dǎo)致整個(gè)系統(tǒng)被接管。
缺少安全文件傳輸系統(tǒng)的情況下,用戶應(yīng)在點(diǎn)擊之前,將鼠標(biāo)懸停在電子郵件地址和鏈接上方,檢查發(fā)家和文件類型的合法性。
2. 您錯(cuò)過(guò)了一條語(yǔ)音信箱消息!
自2014年起,騙子就一直試圖通過(guò)看起來(lái)像內(nèi)部語(yǔ)音信箱服務(wù)消息的電子郵件安裝惡意軟件。公司企業(yè)常會(huì)設(shè)置系統(tǒng)轉(zhuǎn)發(fā)音頻文件和消息給員工,這很方便,但用戶難以識(shí)別出網(wǎng)絡(luò)釣魚(yú)騙局。
如今,語(yǔ)音信箱都偽裝成微軟或思科類的了。員工進(jìn)到收件箱,發(fā)現(xiàn)有一封語(yǔ)音消息錯(cuò)過(guò)了,然后就點(diǎn)開(kāi)了附件。誘騙器能捕捉到幾乎任何人,不僅僅是會(huì)收到發(fā)票欺詐郵件的會(huì)計(jì)部門(mén)。
3. 免費(fèi)的東西
大多數(shù)員工都抵擋不住免費(fèi)物品的誘惑——從披薩到演唱會(huì)門(mén)票到軟件下載,他們會(huì)點(diǎn)擊任何鏈接以得到這些免費(fèi)的東西。
但是,沒(méi)什么東西是真正免費(fèi)的。‘免費(fèi)軟件’這種鏈接屢見(jiàn)不鮮?;蛟S真的是已經(jīng)免費(fèi)下載的東西了吧,但若通過(guò)騙子的網(wǎng)站發(fā)送給你,你收到的或許就是帶病毒或木馬的軟件了。
除此之外,很多此類下載站點(diǎn)都會(huì)捆綁軟件,你會(huì)下載到根本不需要的其他東西。如果這些東西破壞了你的安全設(shè)置,那你剛剛就是打開(kāi)了潘多拉魔盒,后果無(wú)法估量。
看到這種免費(fèi)午餐,最好檢查一下自家公司是否已經(jīng)購(gòu)買(mǎi)了該軟件的許可,或者是不是真的免費(fèi)軟件,然后直接去軟件廠商官網(wǎng)下載。
4. 虛假LinkedIn邀請(qǐng)和站內(nèi)信
常見(jiàn)騙局之一,涉及到用LinkedIn虛假賬戶進(jìn)行信息收集。
比如說(shuō),某人建立了虛假LinkedIn賬號(hào),偽裝成某項(xiàng)目團(tuán)隊(duì)已知成員,甚或公司高管。賬戶資料看起來(lái)非常合法,此人也確實(shí)在這家公司工作。偽裝者與你聯(lián)系,你接受之后便開(kāi)始了交流。作為雇員,被公司高管聯(lián)系上是一件很值得高興的事,于是,不知不覺(jué)中,你就透露了很多公司的敏感或私密信息。同時(shí),這些信息會(huì)被用于更大型的對(duì)公司敏感信息的收集活動(dòng)中。
專家建議,如果有同事要求建立社交網(wǎng)絡(luò)上的聯(lián)系,最好向他們的合法工作電子郵件發(fā)消息詢問(wèn)是否有這么一回事。這是讓你免去麻煩的一個(gè)簡(jiǎn)單易行的辦法。
5. 上班時(shí)間玩社交媒體
常刷朋友圈、推特、臉書(shū)和其他一大堆社交媒體站點(diǎn)的員工,很容易為網(wǎng)絡(luò)大盜開(kāi)啟方便之門(mén),因?yàn)榇祟愹_局不用費(fèi)多少勁,且社交媒體也是員工意識(shí)培訓(xùn)的新領(lǐng)域。
從壞蛋的角度想想投資回報(bào)率(ROI):發(fā)釣魚(yú)郵件大概有千分之一的幾率釣到,但首頁(yè)一個(gè)更新,就有無(wú)數(shù)魚(yú)兒上鉤。
社交媒體的網(wǎng)絡(luò)風(fēng)險(xiǎn)依然是員工理解最少的領(lǐng)域——該領(lǐng)域安全意識(shí)的問(wèn)題有31%的錯(cuò)誤率。然而,76%的受訪公司,允許員工在工作設(shè)備上使用社交媒體??紤]到該領(lǐng)域安全意識(shí)的缺失,這會(huì)令公司處于嚴(yán)重風(fēng)險(xiǎn)籠罩之下。
或許,公司企業(yè)在這方面表現(xiàn)糟糕,是因?yàn)樯缃幻襟w是個(gè)相對(duì)較新的領(lǐng)域。員工組成也相對(duì)年輕一些。業(yè)內(nèi)有種思潮認(rèn)為,這些年輕員工會(huì)點(diǎn)擊任何鏈接。大概,確實(shí)有些關(guān)系吧。