超过10人员工落在社会工程袭击中
根据安全公司积极技术的报告,社会工程仍然是网络攻击者最强大的工具之一积极技术,了解人类因素如何面临风险。
该报告基于渗透测试,将电子邮件发送给包含网站链接的员工,密码输入表单和附件。
在10个渗透测试中,已发送超过3,300条消息,其中17%的邮件成功地欺骗了收件人,以攻击员工的工作站和潜在的企业网络,如果攻击者已发送,则会履行员工的工作站和潜在的公司网络。 。
报告称,最有效的社会工程方法是发送了一个带有网络钓鱼链接的电子邮件,其中27%的收件人单击一个引导到请求凭据的网页的链接。报告指出,用户经常浏览或忽略地址,让他们没有意识到他们正在访问假网站。
在测试中,15%的员工通过附件和链接到网页的电子邮件响应,而7%响应了具有附件的测试电子邮件。
“要使电子邮件更有效,攻击者可以组合不同的方法,因此单个消息可能包含恶意文件和链接,这导致包含多个漏洞利用和密码输入形式的网站,”网络安全说:“leigh-anne加洛韦说:”网络安全说恢复力领先正技术。“可以通过适当的康复防病毒保护阻止恶意附件,但没有确定的方法可以防止用户被欺骗到拼接密码。”
报告称,员工经常打开未知文件,单击可疑链接,甚至与攻击者对应。在测试期间的88%的案件中,这些过度信任的员工在其外工作,例如会计师,律师和经理,25%的人是团队监督员。但没有人免于错误,报告称 - 3%的安全专业人员也占据了诱饵。
该研究发现,在某些情况下,用户发现测试恶意文件或链接无法打开,他们试图打开文件或在假设最多40次时输入他们的密码。当工作人员无法立即打开文件时,他们经常将其转发给IT部门以获取援助。该报告称,这仍然会增加风险,因为它仍然可能相信他们的同事并运行“破碎”文件。在某些情况下,收件人答复说,他们不是预期的收件人,并提供了公司的另一个人的联系方式。
该研究发现,在从假冒公司发送消息的同时只有11%的危险行动,从真正的公司和人的账户发送信息,同时增加了成功的几率 - 33%。该钴网络犯罪集团使用了后一种技术,该组织从真正银行和系统集成商的员工账户中发送了网络钓鱼消息,该集团以此为此目的妥协。
报告称,网络罪犯使用恐惧,贪婪,希望和其他情绪使他们的攻击更有效。仔细选择主题线以激发回应。例如,“要解雇的员工列表”导致了38%的反应,“年度奖金”带来了25%的反应。报告称,情绪反应通常足以使员工忘记基本安全规则。
虽然电子邮件是社会工程的常见且有效的渠道,但报告警告说,犯罪分子还通过电话致电员工,声称来自技术支持,并要求员工的某些行动或信息。这可能是一个星期天早上早期的电话,如果员工通过电话给出了密码,那么就可以修复一切。
“为了降低社会工程攻击成功的风险,重要的是要持有定期培训会议和测试每个员工在实践中遵循安全原则的程度,”加洛韦说。“虽然人们往往是您组织中最薄弱的联系,但企业可以通过促进安全积极文化来使许多受益匪浅。”
由于建议员工在潜在的恶意链接和附件上,该报告建议组织应用许多简单的措施来增强网络钓鱼电子邮件攻击,例如:
使用发件人策略框架(SPF)和DomainKyysidentified邮件(DKIM)协议,以便可以通过电子邮件发件人的Internet域进行身份验证。使用基于域的消息身份验证,报告和符合(DMARC)协议,该协议是一个Emailauthenticationand,该报告要帮助确保发件人身份的真实性。查找IP地址并识别发件人的主机,以及检查发件人的IP地址的垃圾邮件数据库。阻止具有在可执行文件(.exe,.src),系统(.dll,.sys),script(.bat,.js,.vbs)和其他文件(.js,.mht ,.cmd)。实现按需恶意软件检测系统,以便员工可以在任何时间发送电子邮件附件或任何其他文件以进行扫描。在打开和回顾之前立即扫描文件。保持操作系统和应用软件最新。制定和实施一个计划,以改善员工的信息安全意识并定期测试。