一个人的疏忽将拖累所有人陷入危险

如果您未能解决团队成员的社交媒体习惯和在线卫生问题,将肯定会不必要地承担巨大的安全风险。只要有一个人不够注重安全,你们团队中所有人都将面临威胁。



我们在网络安全方面的口号 — 我们一遍又一遍重复着的口号 — 就是这样的:用户是最薄弱的环节。但我想知道,它是否已经由于碎嘴子而失去意义?

对过去几年来的无数次重大侵犯行为的解析结论是显而易见的:攻击者追逐的是用户和零日。即使粗略地浏览一下暗网,也可以看出,信誉良好的消息来源和那些寻求攻击的人提供的 Zero Day bug 奖金之间的差距是多么的巨大,详见《可怜正义没有钱》。然而,凭据的攻击能力更强大,来得更容易,可怕的是,组织和团体仍然没有能教会他们的成员安全使用互联网的习惯。

任何威胁组织的社交工程部门人员通常都是通过监视人们在 Facebook,LinkedIn,Instagram 和其他社交平台上定期分享的信息,来找到他们所需要的东西的。这有助于他们制定针对性的和精确的攻击。你真的不用指望那些企业能关心你的安全。

你应该知道,这一间谍步骤的执行速度究竟有多快。

只需在 LinkedIn 上找到一个指定联系人的组织。然后交叉引用 Facebook 或 Instagram 或 WeChat 或微博上的个人资料,在那里,很容易利用宽松的隐私设置来收集到有关出生日期、亲属姓名、宠物、休闲时光甚至具体地点的信息。然后发送武器化的[email protected] 来发动攻击。假设已经构建了有效载荷,则针对每个目标的整个过程大约只需要十分钟。

惊人的效率,并具有惊人的高命中率。

随着用户越来越多地将自己的个人生活细节在越来越“不卫生”的社交网络上更加充分地暴露,组织和团队需要认识到,这会带来真正的危险。

至今仍然只有很少的用户知道 Facebook 等应用程序中最基本的隐私设置,或者面向公众的个人资料图片可以产生有关个人的有价值信息有如此高危险性的概念。这是更大的恐怖。

浏览互联网,很简单你就可以看到,对错别字、政治立场、他们选择表达自己的方式、对语言模式的容忍度 — 以及,他们的二级和三级联系人的个人资料也可能有类似的暴露性设置。即使是在其个人资料图片上存在安全意识的用户,也可能没有意识到其他危险。

如果以上这些任何部分这听起来像跟踪,不要搞错 — 犯罪团伙不关心跟踪,他们要的是了解你从而制定最有效针对你的攻击方案。他们将使用可用的任何信息来访问您的资源,社交媒体是最丰富的资源库。

你想反击吗,其实很简单,只需要为您的成员进行一小时的培训。包括一些关于隐私缺乏关注造成巨额损失的硬案例材料,您将可以做到大幅度减少风险状况。

即使是看似微不足道的行为纠正也能获得明显的安全回报。如果用户停止在 LinkedIn 和 Facebook 之间共享个人资料照片,那将大大降低社交工程师的进攻速度。确保将所有新的 Facebook 个人资料图片的默认公共设置改为“仅限朋友”,或限制某个帖子避免“朋友的朋友”作为可见性 — 这些简单的方法都有助于降低风险。

删除封面照片,限制过去帖子的可见性或确保 LinkedIn 上的推荐仅对专业联系人可见,会有同样的作用。至今依然只有很少的人能够做到这一点,以至于政府的间谍和其他犯罪分子可以轻松地窃取他们的宝贵数据

社交媒体帐户上的弱安全设置对黑客来说实际上是一张金牌。资源充足的社交工程师可以发现足够的信息,以便在您的队友中发起针对性的攻击。攻击者不仅可以立即进入您的关系网开始渗透运作,而且还可以获得有关凭据的重要线索,这些凭据可以让他们在入侵后进行操作。

现在想象一下,你是犯罪团伙工资单上千名左右真正的精英黑客之一 — 甚至是受雇的独狼 — 就是能更快速展开攻击的人。您的中级用户在线共享了令人难以置信的个人详细信息,你就可以轻松地引用特定个人详细信息实施有效的网络钓鱼攻击。

如果您没有专门针对这些用户的社交媒体习惯和卫生问题展开培训,您的受攻击面就会随着风险状况呈指数级增长。解决这个问题的培训不一定是繁重的任务,如果您长期关注 IYP 的内容就能轻松掌握防御技巧。

这句话真的值得重复:用户是最薄弱的环节。我们不能让这句话的分量由于被重复而被稀释。
详细知识:《破坏者的智慧》分为5个部分 — — 

  1. 有缺陷的代码和软件漏洞都不难修补,但是,社交工程欺诈是非常难以预防的,因为人性弱点无法修补。即使是最精明的人也可能被欺骗……那么该怎么办?《拯救人性的 Bug
  2. 搏击俱乐部规定第一条:不要谈论搏击俱乐部!《击败骗局 — 9个防御技巧
  3. 足迹可以向攻击者暴露形成组织安全状态的整体概况。攻击者通常通过哪些步骤来获得目标的情报《你的足迹非常危险
  4. 很多噩梦只是由于你曾经在社交网络上说得太多了。这绝不是危言耸听。我们警告过政府当局如何利用社交媒体上人们下意识透露的信息针对性地进行间谍活动,于是您应该知道《哪些话你不应该在社交媒体上说
  5. 搜索记录是很可怕的东西,你需要了解至少是《如何删除您的 Google 搜索记录

If you fail to address the social media habits and online hygiene of your employees, you’re unnecessarily taking on a huge security risk. It bears repeating: Users are the weakest link. Let’s not let that phrase be diluted by repetition.

发表评论

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据