为什么企业需要更具启发性的网络钓鱼攻击方法
威胁员工用解雇点击网络钓鱼电子邮件,让恶意软件感染公司系统是一个很大的错误,这是一个领先的安全专家警告说。
欧洲,中东和非洲(EMEA)的首席技术官Raj Samani表示,在英特尔安全的情况下,普遍实行落下电子邮件诈骗在城市企业中枯萎的罪行是安全的。
在接受计算机每周的采访中,萨米斯表示,黑客,私人侦探和罪犯使用复杂的心理技术,旨在绕过意识的心灵,以便善意的人点击恶意软件。
恶意软件通常隐藏在针对特定受害者的电子邮件中 - 一种称为矛网络钓鱼的技术。
在一个臭名昭着的骗局中,仍然吸引多个受害者,黑客通过向受害者发送给予财务部门的受害者的令人信服的电子邮件,要求立即转移现金来完成商业交易。
骗局是因为电子邮件的紧迫性,人们遵守权威人士的趋势,加上员工如果他们不遵守职业生涯的风险,萨曼尼说。
但是创造了一个毯子政策 - 正如许多城市公司所做的 - 那些点击网络钓鱼电子邮件并将恶意软件引入组织的任何人都会有瞬间解雇的风险,创造一个可以削弱安全的掩护文化。
“大多数攻击的事实上机制是一定程度的矛网络钓鱼”
Raj Samani,英特尔安全
他说,人们需要觉得他们可以向IT安全报告潜在的事件,而不会冒着职业生涯,并且每种情况都应根据自己的优点来调查。
“那个人点击了什么电子邮件?它有多复杂?如果这是他第一次完成它,我们会做一些培训。或者这是他本周完成了第五次,“Samani说。
大多数黑客和电子欺诈案件依赖于重音或忙碌的员工点击与恶意软件的链接,通常在看似来自同事或经理的卓越的电子邮件中 - 一种称为社会工程的技术。
欺诈者令人惊讶的是,通过监控受害者的社交媒体账户并检查有关目标公司的公开信息,令人惊讶的是,通过监控受害者的社交媒体账户来解决高度令人信服的电子邮件。
在一个练习中,萨米能够通过向他的女儿发送一封关于他的女儿的电子邮件来说服高级雇员来点击一封关于他的女儿的电子邮件,以祝贺她在足球比赛中取得成功的父母。
“我们知道他的女儿扮演足球,我们知道得分,就是在Facebook上,”萨曼尼说。“我们构建了一封电子邮件,使其似乎来自同一支队。我们说:“我附上了照片,其中一个是你的孩子得分的胜利目标'。它非常精心制作。“
一旦黑客集团欺骗员工将恶意软件下载到一台计算机上,它们通常将使用它来获得管理员权限,这将允许他们访问组织中的其他更敏感的机器。
研究人员已经确定了六个心理杆,即黑客和欺诈者使用绕过正常的心理警报,让人们提醒人们给可疑的电子邮件。
最常见的是“回报”,攻击者的一个明显的帮助行为,鼓励人们帮助他们回报。
例如,CON艺术家能够通过向其他人提供众多人们将其提供联系方式参考的知识来建立对LinkedIn的可信个人参考。
人力资源部门经常犯错误,假设候选人是否有大量建议,但很少冒险检查他们的LinkedIn个人资料是否是相互升值社会的一部分。
萨米说,他曾经在阅读他的LinkedIn个人资料之后向那些在接近他的人那里拒绝了工作的工作,因为招聘人员没有关于其真实性的任何独立检查。
“你有一个员工进来,你想检查他们是否有任何好处,”他说。“你所做的第一件事是在LinkedIn上检查它们。你看到他们有300个建议,你觉得我要雇用他们,但他们可能已经使用了往复情况。“
另一种经典的网络钓鱼技术被称为喜欢。在这种情况下,Tricksters需要时间研究受害者亲密的朋友是谁,并用作杠杆。
“我向您发送电子邮件,这是来自朋友沃里克的紧急电子邮件,称'我是海外,我的手机和钱包一直被盗 - 你介意送给我100英镑',”Samani说。
创造紧迫感或稀缺性是另一个有利的策略。例如,例如,欺诈者一直在发送包含紧急发票的电子邮件,或者从银行敦促人们在某个时间内登录其帐户的现实电子邮件,或者他们的帐户将被禁用。
Samani说,这些技术被列入了欺诈者使用的欺诈者使用的欺诈者使用的技巧。
Samani自己落下了一个假的关闭销售的受害者,他认为他已经买了一个讨价还价的沙发,只有800英镑,只是在三年后找到,当他回到同一店时,关闭销售仍在继续。
但是对互受这些攻击的组织对互联网攻击的影响可能更具破坏性。例如,Samani与一名员工谈过,在收到来自他的老板的正宗电子邮件后,将60,000英镑的员工联系在欺诈者之后。
并于2016年10月,林肯郡和谷楼医院NHS信任必须在恶意软件击中后四天取消几乎所有计划的运营和门诊约会 - 这是可能使生活有风险的攻击。
“大多数攻击的事实机制是一定程度的矛网络钓鱼,”萨曼说。“电子邮件是攻击中最常见的攻击,无论是针对金融,发电厂还是妈妈和爸爸的攻击。使用直接消息传递的社交媒体也很常见。这是网络犯罪的Modus Operandi。“
骗子可以在互联网上相对便宜地购买恶意软件和潜在受害者的电子邮件地址,5,000个电子邮件地址只需5英镑。
“人们谈论网络犯罪,认为这是一个恶意软件问题,”他说。“但这并不是,它是关于无法进行运营的医院,它是关于图书馆无法借贷书籍,这是关于企业无法运作的业务。”
在其中一个最大的电子猎人之一,一群被称为Carbanak Gang的国际黑客偷偷地估计了30个国家的银行,电子支付系统和其他金融机构1亿美元。
根据彭博,犯罪分子的员工感染了员工的计算机,恶意软件遍布公司网络,并允许他们对员工进行视频监控。
使他们能够模仿员工的行为,所以他们可以在没有被检测的情况下转移和偷钱。
据估计,勒索软件 - 加密文件的恶意软件,然后要求赎金解密它们 - 每年的成本1亿美元,而且大多数通过矛网络钓鱼。
因此,Samani建议人力资源部门不采用任何用于点击恶意软件链接的员工的黑白政策。复杂的网络钓鱼攻击很容易堕落,并且签发威胁只会鼓励员工隐藏问题,而不是向其报告。
“如果你打开一封电子邮件并意识到已经删除了整个组织的赎金软件,你会把你的手放在上面吗?”他问。
还有一个风险,威胁要让员工可以让他们开放给勒索,黑客威胁要向他们的老板报告违约,如果他们不遵守欺诈。
一旦发生攻击,公司仍然可以减轻伤害,如果他们及时提醒,说萨米尼。“看看马来西亚案。他们有针对员工。他们可以停止有五个或六个不同的情况。
“他们从计算机到其他人[进入网络],他们开始使用网络摄像头,提取信息并在世界各地发送它。你仍然有机会在任何阶段识别威胁并停止它。“
Samani说,Samamsters使用的策略中使用的训练员工可以提供帮助,但仅仅是答案不是答案。
“关键是让人们了解他们所拥有的价值,”他说。“这对有人坐在一个PowerPoint前面,这少。是关于让他们了解信息的价值。“
他说,员工应该促使挑战进入建筑物的人,即使他们声称是非常高级的建筑物,以展示他们的通行证。
在过去,萨米斯通过穿着锋利的西装和坚持他必须立即看到首席执行官,在物理安全测试中设法将其进入建筑物中,即使秘书没有了解任命,他必须立即看到CEO。
技术也可以提供帮助。呼叫中心经常将骗局呼叫者记录为呼叫处理程序的学习练习,语音压力探测器可以提前迹象表明某些事情可能是不保证的。
“我们觉得挑战人们几乎令人尴尬,”萨米尼说。“但这是我们需要抚养的东西。不是一种恐惧的气氛,而是一种赋权的气候。“
人力资源部门应觉得能够与IT部门交谈,以了解谁点击了将公司暴露于恶意软件的电子邮件。
同样,他们应该意识到恶意软件可能旨在旨在故意指出那些不是罪魁祸首的人。
“我希望人们更深入地了解心理影响力,以及这些东西如何在数字世界中使用,”萨米说。
Raj Samani于3月21日至22日在伦敦的3月21日发言。
互惠
员工收到IT帮助表户的呼叫,声称一些公司的计算机受到无法检测到的抗病毒系统无法检测到的病毒的影响。调用者在要求他测试刚刚升级的软件实用程序之前通过安全预防措施讨论他,以允许用户更改密码。员工不愿意拒绝,因为他刚刚通过遵守请求获得了帮助和往复运动。
缺乏
欺骗电子邮件从包含银行徽标的银行到达。它警告用户通过WeBlink提供当前帐户信息,扬声说如果他们不遵守说明,则将立即禁用该帐户。
一致性
攻击者联系新员工,并提醒他遵循公司安全政策和程序的协议。在讨论一些安全实践之后,调用者询问用户密码“验证合规性”,并在选择难以猜测的密码上进行策略。
喜欢
当攻击者是他们喜欢的人时,目标更有可能遵守。例如,Bernard Madoff,Wall Street Trader判处运行50亿美元的金字塔计划,通过他的魅力获得了受害者,他的财务指挥和他不可动摇的信心。
权威
人们倾向于遵守来自权威的请求。在假设欺诈总统欺诈中,攻击者冒充公司执行官,并致电经理或应付账款职员,要求他们执行紧急和机密的离岸付款。
社会验证
当别人正在做同样的事情时,人们往往遵守。如果在已经打开的情况下,人们更有可能打开电子邮件附件,与其他人在电子邮件中复制其他人。