社交网络媒体近年来非常热火,不少公司开立了VIP帐户用于宣传公司的产品和服务,甚至进行在线客户支持服务,也有不少大型公司纷纷鼓励员工开通个人帐户,力图将所有员工者打造成公司战略品牌的网络行销专员。
同时,也有网络犯罪分子看到了这一点,他们受雇佣于各大市场调查公司、商业间谍公司或竞争对手,利用社交网络的便利和多数公司员工的热心及好客心态,积极套取各类机密商业信息。
拿微博为例,除非特别进行私密设置,微博的内容对任何有帐户的其他人都是公开的,网络犯罪分子可以通过微博历史记录,分析和研究员工的兴趣爱好、消费倾向和详细身份。再加上近期微博推行实名制身份认证,更是协助网络犯罪分子轻松发现和定位目标公司的员工。
犯罪分子发动攻击的最常见的手法包括社交工程攻击,即伪称是客户或其它可信的职能机构人员,通过私信等方式向目标套取敏感信息。一旦不能得逞,转而旋即采取其它曲线方式,常见的便是设置调查问卷,策划抽奖活动,引诱目标员工填写在线调查表。
您有没有收到过类似的邀请,让您填写一些信息便有机会获得大奖呢?您有没有停下来好好想一想有多少人会参与,又有多少人能真正获得奖励呢?有没有想一想他们为什么要这些信息呢?有了这些信息,他们会做什么用处呢?
如果您是公司信息安全管理负责人,您认为公司的员工在遇到这种情况时,会不会也停下来想一想这些问题呢?
您可能会感到震惊,员工们参加调查问卷时不过想得到些奖励或回报罢了,可能根本没有兴趣或意识去想这么多,而他们所填写的内容几乎类似于人与人之间的随意沟通,是再智能的网络信息安全系统也无法完全识别和有效阻止的。
唯有的一种方法是加强员工的安全意识教育,让员工们能够了解到社交网络中存在的安全威胁,如何识别这些安全威胁和进行有效的应对。简单的针对于社交媒体调查方面,让员工们在“大奖”的诱惑面前能驻足思考,问一问自己上述几个问题,有一点点疑问或者怀疑有诈的时候能够及时罢手,并且立即报告公司安全服务团队。
昆明亭长朗然科技有限公司的安全培训顾问Bob Xue说过:公司需要让员工们知道:“真正出于保护客户隐私和安全的市场调查不会收集任何受访人员的私人信息,这些私人信息如姓名、邮箱、公司名称、详细地址和联系电话等等”。
在鼓励员工使用社交媒体工具帮助推广宣传公司的时候,公司安全管理负责人员要确保员工接受基本的社交网络安全使用教育,防止网络犯罪分子通过社交媒体发起“网络调查”来窃取公司机密。
