培训也培训过了,模拟网络钓鱼测试也测试过了,海报、游戏、电子邮件等等各种提醒方法都用遍了,但员工们依旧数年如一日地被同样的骗术耍得团团转。简直快把安全团队逼疯了。
威瑞森《2016数据泄露调查报告》指出,30%的网络钓鱼消息都被它们的既定目标打开了,其中12%的收家还会继续点击恶意附件或恶意链接,让攻击得以完美收官。1年前,只有23%的用户打开了那些邮件,也就是说,员工对钓鱼邮件的分辨力甚至还下降了,或者,坏蛋们找到了更有创意的方法引诱用户。
由人为失误引起的安全违规后果比以往更为严重。首先,勒索软件的头号拐点,就是通过网络钓鱼攻击进行。进而,一小撮网络黑帮不断扩展他们的网络,向更多用户投递更多骗局,引来更多上钩的鱼儿。
迈卡菲实验室2016年9月威胁报告指称,今年上半年,仅一个勒索软件网络黑帮就成功敛取1.21亿美元赎金,净利润9400万美元。2016上半年勒索软件比去年同期增长了128%。有130万新勒索软件样本被记录,创迈卡菲自开始追踪以来新高。
看一看员工们至今仍会落入陷阱的5大社会工程骗局,便不难看出它们的引诱力。可谓涵盖了大多数员工都有的社会工程七宗罪:好奇、礼貌、轻信、贪婪、轻率、羞怯和冷漠。
很多安全事件都可归罪于人类本性,但还是有方法可以帮助员工改掉坏习惯,避免上当。
1. 看起来挺正式
看起来与工作相关的貌似正式的电子邮件——主题行一般是“发票附上”、“您需要的文件”、“请看一下简历”等等。这种邮件依然有员工会被迷惑。
Wombat Technologies 进行的一次调查发现,员工在收到涉及礼品卡通知或社交网络账号之类的“消费者”邮件时,会比对看起来工作相关的邮件更为警惕。显示“紧急电子邮件口令修改请求”的主题行,有28%的平均点击率。
大多数人都不仔细检查邮件出处就点开了,然后他们的机器便可能被黑客拿下,或者感染病毒。
尤其是你正与分包商或合作伙伴就某项目交换文件时,真的应该用安全文件传输系统,以便确切知道文件来源,明确该文件已被审查过。收家应该特别小心那些要求用户开启宏的文件,这有可能导致整个系统被接管。
缺少安全文件传输系统的情况下,用户应在点击之前,将鼠标悬停在电子邮件地址和链接上方,检查发家和文件类型的合法性。
2. 您错过了一条语音信箱消息!
自2014年起,骗子就一直试图通过看起来像内部语音信箱服务消息的电子邮件安装恶意软件。公司企业常会设置系统转发音频文件和消息给员工,这很方便,但用户难以识别出网络钓鱼骗局。
如今,语音信箱都伪装成微软或思科类的了。员工进到收件箱,发现有一封语音消息错过了,然后就点开了附件。诱骗器能捕捉到几乎任何人,不仅仅是会收到发票欺诈邮件的会计部门。
3. 免费的东西
大多数员工都抵挡不住免费物品的诱惑——从披萨到演唱会门票到软件下载,他们会点击任何链接以得到这些免费的东西。
但是,没什么东西是真正免费的。‘免费软件’这种链接屡见不鲜。或许真的是已经免费下载的东西了吧,但若通过骗子的网站发送给你,你收到的或许就是带病毒或木马的软件了。
除此之外,很多此类下载站点都会捆绑软件,你会下载到根本不需要的其他东西。如果这些东西破坏了你的安全设置,那你刚刚就是打开了潘多拉魔盒,后果无法估量。
看到这种免费午餐,最好检查一下自家公司是否已经购买了该软件的许可,或者是不是真的免费软件,然后直接去软件厂商官网下载。
4. 虚假LinkedIn邀请和站内信
常见骗局之一,涉及到用LinkedIn虚假账户进行信息收集。
比如说,某人建立了虚假LinkedIn账号,伪装成某项目团队已知成员,甚或公司高管。账户资料看起来非常合法,此人也确实在这家公司工作。伪装者与你联系,你接受之后便开始了交流。作为雇员,被公司高管联系上是一件很值得高兴的事,于是,不知不觉中,你就透露了很多公司的敏感或私密信息。同时,这些信息会被用于更大型的对公司敏感信息的收集活动中。
专家建议,如果有同事要求建立社交网络上的联系,最好向他们的合法工作电子邮件发消息询问是否有这么一回事。这是让你免去麻烦的一个简单易行的办法。
5. 上班时间玩社交媒体
常刷朋友圈、推特、脸书和其他一大堆社交媒体站点的员工,很容易为网络大盗开启方便之门,因为此类骗局不用费多少劲,且社交媒体也是员工意识培训的新领域。
从坏蛋的角度想想投资回报率(ROI):发钓鱼邮件大概有千分之一的几率钓到,但首页一个更新,就有无数鱼儿上钩。
社交媒体的网络风险依然是员工理解最少的领域——该领域安全意识的问题有31%的错误率。然而,76%的受访公司,允许员工在工作设备上使用社交媒体。考虑到该领域安全意识的缺失,这会令公司处于严重风险笼罩之下。
或许,公司企业在这方面表现糟糕,是因为社交媒体是个相对较新的领域。员工组成也相对年轻一些。业内有种思潮认为,这些年轻员工会点击任何链接。大概,确实有些关系吧。