5 views

这是否预示着一波社交工程攻击?

By | 2019年1月29日

我从未成为社交媒体的粉丝。关于在网上发布关于你自己的个人或私人信息让任何人都能看到的东西让我非常不安。不要试图告诉我您可以通过安全设置调整谁看到您的内容; 我不相信隐私设置实际上会将您的信息保密在一小群经批准的朋友或同事中。

现在有消息称LinkedIn正在起诉一群不知名的人(“John Does,1到10”)据称使用自动化软件创建了数千个虚假的LinkedIn个人资料。这些被告使用欺诈性会员账户提取和复制合法成员的个人资料信息。换句话说,机器人已经渗透到LinkedIn,他们正在屏幕抓取你和我发布的信息。

根据ZDNet上的一篇文章,关注的是John Does滥用私人数据可能会破坏LinkedIn收费服务,招聘人员和公司通过LinkedIn社交网络大量使用这些服务。文章指出:

根据计算机欺诈和滥用法案(CFAA),数字千年版权法案(DMCA)和加州刑法典,LinkedIn正在起诉,因为它认为这些机器人正在破坏其作为平台的完整性。

LinkedIn已对其Recruiter产品进行了“重大”投资,并认为它需要花费大量时间和资源来“调查和应对这种不当行为”。

LinkedIn Recruiter产品是付费服务,可让猎头和企业招聘人员发现候选人。这项服务由超过16,000家公司支付。

有意义的是,LinkedIn正在做它需要做的事情,以保护自己的业务和收入。但是,那些容易收集信息并可能用于社会工程攻击的2.59亿LinkedIn用户呢?我没有听到有人谈论这种可能性,但这是我想到的第一件事。社交工程是需要知道人而不是代码的黑客。这些僵尸程序完全有可能收集足够的信息来对LinkedIn用户发起网络钓鱼攻击。

网络钓鱼电子邮件占针对企业的社交工程攻击的47%。根据2013年Verizon Data Breach调查报告,Verizon引用的29%的攻击可以追溯到社交策略,包括网络钓鱼电子邮件和电话,攻击者利用个人信息获取信任。对于网络钓鱼电子邮件,目标人员会打开附件或点击链接,导致恶意软件被丢弃在他们的计算机上。

Dimensional Research和Check Point Software于2011年9月发布了一份关于社会工程攻击的报告。该报告称,被认为是攻击的主要动机的三大理由是:

为了经济利益

获取专有信息

获得竞争优势
当然,这些动机似乎都是紧密相连的。如果有人可以获取专有信息,可能他们可以出售以获取经济利益或使用它来创造竞争优势。

与此报告相关的调查显示,32%的受访者(N = 322)认为他们的组织在过去两年内至少发生过25次或更多的社会工程攻击。过滤掉较小的组织并仅查看拥有5,000名或更多员工的公司,遭受社会工程攻击的组织比例跃升至48%。事实上,三分之一的大型组织认为,在报告发布前的两年内,他们至少经历过50次社会工程攻击。

鉴于攻击者通过社会工程获得进入组织的高成功率,以及未知人员使用机器人从LinkedIn获取所有信息的启示,我预测我们将看到新的攻击浪潮他们的根源在于利用有针对性的组织中的人的个人信息。根据Dimensional Research报告,受剥削风险最高的人是不熟悉公司安全政策的新员工和承包商,以及可以访问行政日历,电子邮件和机密信息的行政助理。

您的组织可以做些什么来降低通过社交工程进行攻击的可能性?以下是一些建议。

在您的公司安全策略中,将工作中的社交媒体网站的使用限制为仅限合法业务使用。例如,您可能有很多员工在白天一次或两次提起Facebook只是为了与朋友一起办理登机手续。除了浪费时间外,这也可能带来安全风险。合法的商业用途包括为贵公司运营基于Facebook的广告系列的营销人员。

强调员工限制他们在LinkedIn这样的网站上发布的关于他们自己和公司的信息量。例如,他们不应该详细了解具体项目或职位,因为这可能会揭示黑客可能利用的诱人信息。教他们对他们在朋友网络中接受的人持谨慎态度。我知道这是“社交”网络的对立面,但它相当于儿时的箴言,“不要和陌生人说话”。

向员工和承包商介绍有关使用社交工程的网络钓鱼和其他攻击。Wombat Security Technologies,Phishme和Phishline等公司提供培训计划,可以教您的员工如何发现和避免网络钓鱼电子邮件。一定要测试训练的准确性,以便了解它是否有效。

使用扫描电子邮件链接和附件的软件或服务,然后将其显示给收件人以进行打开。防止工人首先打开危险的恶意软件包装链接和文件。
想要信任别人是人的本性,但它也是一个危险的数字世界。每个人都必须学会对来自他们的电话,电子邮件和文件持怀疑态度 – 特别是如果他们是未经请求或意外的话。

发表评论

电子邮件地址不会被公开。 必填项已用*标注