人仍然是最大的安全隐患

人仍然是最大的安全隐患

“我们正在与几千年的进化作斗争,”Proofpoint威胁行动中心副总裁凯文·爱泼斯坦(Kevin Epstein)说对事物好奇是很自然的。不幸的是,对于电子邮件诈骗,最好三思而后行。”

还有一个原因 集体“我们”,即-继续点击恶意链接或下载虚假附件,尽管被告知不要这样做:黑客已经越来越善于伪装成他们不是的人,利用社会工程通过伪装成其他人来逃避我们的警惕。

它也起作用了。希捷公司的一名员工最近成为电子邮件网络钓鱼诈骗的受害者,该诈骗导致释放过去和现在员工的W-2s,W-2s包括社会保险号码和工资等个人信息。Snapchat的一名员工也被网络钓鱼,将工资单信息发送到了坏人手中。

塞德维尔大学计算机科学助理教授塞思·哈曼说:“犯罪分子越来越老练了。”现在成为头条新闻的可能不是语法不好的电子邮件,也不是幼稚的欺骗他人的企图。”

你可能会认为,到2016年,我们会足够聪明,知道不要下载任何我们不认识的人的东西,也不要点击未知来源的链接。一般来说我们是。但是黑客们正在利用社会工程来表达他们的真实意图——甚至那些电子邮件是从哪里来的。

Proofpoint在其“The Human Factor 2016”报告中发现,去年,黑客更可能利用电子邮件诈骗来攻击我们,基于附件的活动中使用的99.7%的文档依赖于社会工程和宏来工作。他们还发现,诈骗短信中98%的网址链接到托管的恶意软件。在这两种情况下,犯罪分子都依赖于用户自己将黑客攻击放到电脑上。

【相关报道:仿冒网络钓鱼计划向首席信息官展示黑客如何展开】

“攻击者利用的是我们DNA中的硬连接,”爱泼斯坦说好奇心害死了猫。好奇心也会让你感染恶意软件。”

黑客也知道什么时候去杀戮。Proofpoint发现,电子邮件的发送时间是上午9点到10点,周二是最繁忙的发送时间。之所以选择这些窗口,是因为在这个时候,那些电子邮件的接收者可能会放松警惕:不是在周一,你马上就要回去工作了,而是在你赶上周末后的周二,而是在你可能还没喝完咖啡,正赶着去参加第一次会议的时候。

此外,附件往往是他们所说的。”附件将声称是一个视频文件或Word文档,您打开它,它将播放一个视频或您将看到一个Word文档。但它也在后台做其他事情,”爱泼斯坦说。

调查还发现,社会工程正被用于针对关键商业参与者的高针对性攻击中,以伪装成高层。最常见的情况是,最终结果是钱被转移到欺诈性的银行账户。

听起来可能难以置信。谁会给陌生人寄钱?但黑客看起来不像陌生人。有一种骗局,爱泼斯坦称之为“低级复杂”,涉及潜在受害者和攻击者之间的10-15封电子邮件。

“这不是一个攻击者以‘嘿,这是你的首席执行官,请转帐’开场,他们以‘约翰,这是萨利’开场。我对最近的一张发票有一些疑问,然后约翰回答了‘莎莉’和其他一些问题,在谈话过程中,问题归结到了转会的情况。”

这种攻击的一个更复杂的版本是,John将收到一封基于附件的电子邮件,附件将修改John的电子邮件设置,以便下次John收到CEO Sally的消息时,它不会返回给Sally,而是发送给攻击者,然后攻击者将其转发给Sally。

“在某个时候,攻击者会在CEO的一封电子邮件中插入一两段额外的内容,”他说这些都不是生硬的,容易察觉的东西。这些电子邮件是用母语编写的,采用的是高管电子邮件地址的语调似乎完全相同,修改得非常轻微,或者使用了你看不到的隐藏设置。”

【相关报道:网络钓鱼的安全教育可以为公司节省数百万美元】

爱泼斯坦补充说:“这是一个老骗局的高科技版本。”2014年是研究如何绕过警报系统潜入的一年2015年是你前臂下夹着一个包裹出现,敲开前门的一年。”

哈曼说,正是社会工程使这类骗局成为可能,鉴于我们有多少信息可供设计,这并不奇怪。”我们的大部分个人身份信息都在外面,”他说。他不仅仅是在和你在推特上发布的内容说话。在过去的三年里,他被警告说他已经四次成为数据泄露的受害者。

“我的信息- 谁知道它在哪里,如果我的信息最终落入坏人手中,他们知道我的生日、社保号码,可能知道也可能不知道我的信用卡号码,”他说。当一个人被一个知道这些信息的罪犯盯上时,目标更可能认为这个人就是他们所说的那个人。”这些都是复杂的攻击,因为攻击者已经完成了他们的家庭作业,人们正在上当。

去年,弗兰克·阿巴格纳尔(Frank Abagnale)是《如果你能抓住我》(Catch Me If You Can)(他在联邦调查局(FBI)工作了40多年)的幕后黑手,他说:“50年前我还是一个十几岁的男孩时所做的事,如今要做起来容易4000倍,因为有了技术,”他补充说“技术滋生犯罪。它一直是,而且永远是。”

他还没有被证明是错的。

这个故事“人是(仍然)最大的安全风险”最初是由

首席信息官。