常識(shí)告訴我們,用戶是IT風(fēng)險(xiǎn)管理中最薄弱的一環(huán),特別針對(duì)是一些“天真勇敢”的用戶……但是黑客究竟是如何利用這種天真(缺乏保護(hù)意識(shí))進(jìn)入用戶終端和公司賬戶的呢?他們運(yùn)用的很多方法涉及到一些心理學(xué)花招,從而大多數(shù)的攻擊中混進(jìn)了網(wǎng)絡(luò)釣魚(yú)和社會(huì)工程學(xué)的參與。
這里列舉了七種用戶“應(yīng)該”被黑的理由:
一、自動(dòng)上鉤
網(wǎng)絡(luò)釣魚(yú)因其有效性、影響大卻簡(jiǎn)易的特點(diǎn),自始至終都是黑客的最好伙伴,也常作為復(fù)雜攻擊的起始。據(jù)本周Verizon DBIR報(bào)告顯示,23%的網(wǎng)絡(luò)釣魚(yú)收件人會(huì)打開(kāi)惡意消息,有11%的人會(huì)開(kāi)打附件,而從釣魚(yú)者撒下魚(yú)餌到有人上鉤的過(guò)程平均只花費(fèi)了82秒。
不去點(diǎn)那些莫名的鏈接是有多難啊!
二、相信詐騙電話
與網(wǎng)絡(luò)釣魚(yú)相似,有時(shí)對(duì)于攻擊者來(lái)說(shuō)最簡(jiǎn)單的方法就是直接開(kāi)口向被害人索要其的系統(tǒng)和賬戶。聽(tīng)起來(lái)可能有些不可思議,但很多時(shí)候黑客只需要偽裝一下,再打電話詢問(wèn)用戶登錄賬戶及密碼。有時(shí)他們假裝成內(nèi)部員工或者業(yè)務(wù)合作伙伴打電話要求其他員工去打開(kāi)一個(gè)有遠(yuǎn)程訪問(wèn)木馬的特殊文檔,從而得逞。
三、不更新系統(tǒng)補(bǔ)丁
最新Verizon DBIR報(bào)告中還展示了一個(gè)利用不同漏洞進(jìn)行攻擊的比例,據(jù)Verizon調(diào)查大約97%攻擊是針對(duì)Top10并且存在多年的漏洞進(jìn)行的。用戶時(shí)常因不更新系統(tǒng)或者選擇不安裝這些常見(jiàn)漏洞的補(bǔ)丁。試問(wèn)這些常期不更新的用戶,請(qǐng)問(wèn)你們還有什么理由不被黑啊?
四、用簡(jiǎn)單密碼
不久前的索尼公司被黑客攻擊中,黑客曝光了一個(gè)由索尼員工和IT人員使用的密碼,尷尬的是其中不乏包括“12345”和“密碼”(Password)在內(nèi)的熱門通用密碼。正如OWASP在他們的簡(jiǎn)單密碼介紹測(cè)試文件中所說(shuō),
“密碼是一個(gè)王國(guó)的鑰匙,但用戶往往以使用者的名義將王國(guó)顛覆。”
五、使用未受保護(hù)的公共WiFi
上月的315晚會(huì)上,“360網(wǎng)絡(luò)安裝工程師”向用戶提供了很好的證據(jù)說(shuō)明為何用戶在使用公共WiFi時(shí)需要注意保護(hù)自己和VPN。而Cylance研究者發(fā)現(xiàn)29個(gè)國(guó)家的277個(gè)酒店、數(shù)據(jù)中心和會(huì)議中心的無(wú)線路由器存在嚴(yán)重安全漏洞。僅僅一個(gè)公共免費(fèi)熱點(diǎn),就能夠?yàn)楹诳吞峁┮粋€(gè)豐富的獵場(chǎng),去肆無(wú)忌憚地“捕食”無(wú)辜群眾。
六、在社交媒體上說(shuō)太多
黑客喜歡在社交媒體中尋找獵物的原因有很多,其中一個(gè)重要的原因是為了方便調(diào)查。人們?cè)谏缃痪W(wǎng)站中分享的信息通常可以讓攻擊者輕易猜出用戶密碼或者得出密碼重設(shè)的問(wèn)題的答案,同時(shí)也提供了足夠多的資料使魚(yú)叉型釣魚(yú)更容易實(shí)施。模仿熱門社交網(wǎng)站的圖形或者插件也是惡意軟件分布的重要渠道。例如,現(xiàn)在攻擊者誘導(dǎo)用戶在網(wǎng)站點(diǎn)“贊”按鈕,其實(shí)這是個(gè)會(huì)導(dǎo)致惡意軟件安裝的觸發(fā)器。這種被稱為“點(diǎn)擊劫持”方式讓黑客在社交媒體中大行其道。
七、太依賴網(wǎng)絡(luò)
BYOD(自帶設(shè)備隨地辦公)是一個(gè)新興的概念,而IT自主服務(wù)、自我指導(dǎo)已成為一種常態(tài)。當(dāng)用戶想要在他們的公司系統(tǒng)中自由地安裝更多程序或者把數(shù)據(jù)移動(dòng)到不受限制的云端時(shí),他們就要面臨更大的風(fēng)險(xiǎn)。因此,必須找到一個(gè)解決辦法讓用戶能自由完成他們工作的同時(shí),保障對(duì)工作或生活的數(shù)據(jù)管理與審計(jì)控制。