社会工程骗局骗不了这位作家

社会工程骗局骗不了这位作家

(*2016年2月19日更新*)

上周,我收到一封貌似合法的电子邮件,来自LinkedIn的一位女士,她邀请我加入ProFinder,这是一个针对自由撰稿人的试点项目。

以下是我收到的信息:

它看起来很真实,但我和安全专家谈了很多,所以我提高了警惕。我多疑,我学会了信任,但也学会了验证。在我点击之前,我去LinkedIn搜索了发件人。她是真的。她为什么不在LinkedIn上联系我?我想。

我仍然不确定自己是否可以信任发件人,于是我搜索了ProFinder,这确实是LinkedIn运行的一个试点程序。但我感觉不对。这封邮件直接发送到我的gmail账户而没有通过我的LinkedIn邮件,这一事实让我感到不安。

所以,我将鼠标悬停在链接上,注意到了这一点,而不是将我转发给www.linkedin.com,URL中添加了一个小字母“e”。

具有讽刺意味的是,我刚刚与信息安全专业人士保罗·卡鲁加蒂(Paul Carugati)进行了电话采访,他谈到了他关于网络自卫的TED演讲。保罗教授的六种网络自卫策略之一是“停止点击”

相反,我向LinkedIn报告了这条消息,说它可疑,结果证明我的直觉是对的。这花了几天时间,但收到了这封邮件,回应了我的担忧。

卡鲁加蒂说:“作为一个组织,我们应该确保我们的员工得到适当水平的培训。这不仅仅是为了公司利益,也是为了个人利益。安全部门会跟踪他们回家,无论他们走到哪里,从事件检测和响应到国家赞助的间谍活动。”

在过去的一年里,我几乎每天都会听到这些警示语。我为自己感到骄傲,我告诉我的朋友,他认为我的担心有点夸张。她拒绝了,直到我收到确认邮件链接包含恶意软件的消息。然后她被打动了。

我在朋友工作的自助餐厅吃过午饭,每张桌子上都装饰着一块牌子,警告员工注意网络钓鱼诈骗。不过,这个小小的“e”似乎并没有吓到她。

卡鲁加蒂说:“雇主应该继续提高员工的网络自卫能力,并在我们引进员工的过程中寻找他们的网络安全技能水平。”。如果我不知道或不明白真正的威胁是什么样子的话,午餐桌上的标志就没什么意义了。

卡鲁加蒂说:“我总是会在检测方面比以往投入更多。”不管你的努力程度如何,总会有成功的机会。发现、回应、根除。依靠员工基础来确定,因为他们是第一道防线。”。

和卡鲁加蒂一样,我坚信教授网络自卫是任何组织全面网络安全计划的基础支柱。罪犯的战术太老练了,不能停留在你的荣誉和海报上。培训需要全面、持续和实际操作。

信任但核实。不要低估最终用户的能力。

“我们总是第一个放弃效率,为组织做点好事。作为一个安全专业人士,技术非常好,流程和政策非常好,但千万不要低估你的最终用户将能够履行的权力和责任,如果你给他们所需的资源。卡鲁加蒂说:“他们将加强对组织的保护,并将看到这些技能如何转化为个人生活的好处。”。

***更新****

LinkedIn在这个博客上线后联系了我,让我知道我收到的消息是一封有效的电子邮件,他们的信任和安全团队给了我不正确的信息。一位发言人写道,“我为误解道歉,但ProFinder电子邮件您的文章细节,实际上,是从我们的ProFinder团队发送的,而不是,如你所假设的,任何类型的网络钓鱼企图…我道歉,我们的信任和安全团队错误地肯定了你的担心,这是垃圾邮件。我们已确保此类误会不会再次发生,并感谢您对这些电子邮件格式的反馈。”