三招提升社工防范及安全意识培训绩效

尽管现在业界有很好的安全控制技术,但是如果用户在维护信息安全方面没有发挥作用,我们将遇到严重的安全事件,特别是人为因素引起的安全问题。对此,昆明亭长朗然科技有限公司安全意识宣传员董志军称:众所周知,所有机关单位、公司企业中最严重的安全漏洞不是技术缺陷,而是人为错误。网络罪犯非常清楚这个事实,这就是为什么有记录的信息安全违规事件中有86%涉及社会工程攻击的原因。

毫无疑问,信息安全管理负责人员必须使用户们了解识别钓鱼邮件、虚假网站、诈骗消息和其他社会工程攻击手法。可惜的是,很多安全意识培训计划几乎无济于事,原因是没有积极地将社会工程意识的纳入安全意识工作方向。为帮助各位安全管理人员、员工培训人员避免此类陷阱,我们向您分享如下几招社会工程学防范的安全意识提升小技巧。

一、促进用户参与。让用户积极参与社会工程预防过程是安全意识计划生效的关键组成部分,多项研究表明,游戏化是提高员工敬业度的最佳方法。在安全意识计划中使用游戏化的一种方法是鼓励用户将可疑的诈骗邮件、诈骗消息等转发给安全响应团队,然后再将其从收件箱中删除。激励措施的方法可以是很简单的,比如经理或高管或安全部门在公司范围对相关行为人员进行表扬认可(安全标兵、防诈先锋等),也可以是物质方面的投入,比如给相关人员每月抽取现金或奖品的机会,奖品可以是安全小工具或文具等小玩艺儿。促使用户参与社会工程学攻击防范时要记住的一点就是:当人们觉得自己的努力得到认可时,他们就会更多地参与该活动。

二、使用真实的或身边的网络钓鱼事件案例。告诉用户对打开未知来源的消息保持警惕并不能提供足够的洞察力来保护用户免受当今复杂的威胁。更好的方法是共享现实生活中的示例,并指出网络钓鱼方案的明显迹象。昆明亭长朗然科技有限公司有一个名为“网络钓鱼蜜罐”的网站,其中包含大量“近期网络钓鱼最新示例”,以及有关网络钓鱼消息的详细信息。

三、结合模拟社工渗透测试。要评估安全意识计划的有效性,就需要对用户进行社工防范意识的测试,当然需要使用合适的定制化主题。通常来讲,在动画或讲解课程结束时进行10、20道单项选择测试题的测验是不充分的。确保用户理解您的消息的更好的方法是使用模拟钓鱼测试。模拟钓鱼测试需要将用户置于真实的环境中并观察他们的选择。要注意的是,在培训过程中,参训用户们会非常警觉。这就是为什么模拟社工测试应在正规培训课程后的一段随机时间内继续进行。例如,在周二上午可以向指定的用户组发送包含链接或附件的模拟钓鱼电子邮件,如果单击该链接或附件,则会弹出一个窗口,通知用户,如果该邮件是真实的网络钓鱼邮件的话会发生什么情况。再例如,在周三下等可以向指定的用户群发送包含领导要求加入QQ群的短消息,看哪些用户会加入QQ群,在入群后立即通知用户他/她们,如果该群是电信诈骗的话结果会是什么。当然,也要将未通过测试的人员,也就是“被社工渗透”的人员清单通报给安全团队或经理,并利用该机会教育员工他们做错了什么以及如何避免日后的失误。昆明亭长朗然科技有限公司有一套功能强大在线的模拟钓鱼平台,也还有一套简单实用的模拟钓鱼脚本,都可以被用来实施模拟社工渗透测试。

放眼未来,我们将在工作场所看到越来越多的勒索软件和其他恶意软件攻击。提供全面的钓鱼邮件保护及其他网络安全措施将继续是保护信息数据防止泄露及安全事故的重要手段。此外,确保用户发挥自己的作用,避免网络犯罪分子利用诱饵迅速绕过这些安全防护机制并获得他们最想要的宝贵数据资源,将比以往任何时候都更加重要。如果您认可用户的安全意识的行为在整体信息安全保障体系中的重要作用,请联系我们,洽谈业务方面的合作。

昆明亭长朗然科技有限公司

  • 电话:0871-67122372
  • 手机:18206751343
  • 微信:18206751343
  • 邮箱:info@securemymind.com
  • QQ:1767022898

闲聊CEO欺诈及其防范策略

西方企业员工的日常沟通对电子邮件的依赖度很高,不像我们中国人比较高频地使用手机和QQ、微信等社交媒体。而电子邮件的传输协议有其天生的不安全之处,便被不法分子用来发起各种骗局。对此,昆明亭长朗然科技有限公司网络安全顾问董志军表示:首先,只要知道邮箱地址,任何人都可以未经收件者的许可而向其发送电子邮件;其次,电子邮件地址和内容很容易伪造,稍懂一些SMTP协议的技术人员,都可以轻松假冒发件人地址为收件者有关的人员,甚至是收件者自己。

不要以为中国职场人士较西方人少使用电子邮件,就可以免遭受邮件相关的攻击。即使作为网络安全从业人员,我们也能隔三差五地收到各种钓鱼邮件,比如要求让账务人员加领导群的、系统升级要密码的、电脑中了恶意软件要求给其转账打款的。试想那些西方企业的大头儿们以及他们的秘书们,难道不是天天收这些钓鱼邮件吗?!这就是企业电子邮件攻击,也称为“ CEO欺诈”,这种CEO骗局非常有利可图,因为它只需成功几次即可使犯罪分子具有很高的成本效益。

如今,网络犯罪分子无需花费大量时间将网络钓鱼电子邮件发送到众多随机电子邮件地址,而是在进行攻击之前首先进行研究。他们选择要发起CEO骗局攻击的企业,然后使用社会工程学找出首席执行官或首席财务官的身份,并确定好该企业的攻击目标。他们通常会选择财务部门中负责资金管理的人员,或选择高级职员、公司律师、受信任的供应商等等。然后,网络犯罪分子会发送欺诈性电子邮件,冒充首席执行官或首席财务官,并试图欺骗他们发起一次或多次电汇。

通常,黑客会使用如下一些简单但高效的技巧来避免引起怀疑,并确保受害者迅速采取行动,而无需犹豫或进一步核实:

  • 使用与目标企业的相似或相同的网域的电子邮件地址来欺骗目标受害者。
  • 使用紧急语气,要求“尽快”完成资金转账。
  • 在伪造的电子邮件中声明首席执行官或首席财务官正在开会,并且在会议期间不能被电子邮件或电话打扰。
  • 表示发件人使用移动设备来写的电子邮件,方法是使用众所周知的常用短语“从我的iPhone发送”来代替公司的电子邮件签名。
  • 网络犯罪分子将确保他们要求合理的电汇金额,以避免引起怀疑;他们在进行社会工程学研究时会收集到这些信息。

为什么能得逞?

  • 网络钓鱼者依靠“惧怕老板”的心态:所有员工都希望在工作中表现出色,他们可能不会拒绝直接来自公司内重要人物的要求。员工通常感到有义务遵守领导们的要求,而这正是网络犯罪分子很清楚的一点。
  • 对于这些CEO骗局,紧迫感也至关重要。由于电子邮件的收件人感到这是紧迫的事情,而且他无法联系他的老板再次批准转移,因此目标员工几乎肯定会陷入CEO欺诈骗局。

如何避免成为CEO欺诈的受害者呢?我们建议企业遵循以下提示:

  • 对员工进行社会工程学、网络钓鱼及邮件安全意识的教育。
  • 让员工们留意其收件箱中的电子邮件地址,以避免欺骗或敲诈。
  • 让员工们对所有要求快速行动的电子邮件保持疑心,无论它们看起来是否异常,特别是有要求走特批或例外流程的。
  • 建议员工们打个电话以验证业务合作伙伴或供应商的真实性。
  • 启用关键应用如网银系统的双因素身份验证措施。

而对即使是较少外贸活动的中国职场人士来讲,黑客的欺诈不会少,只是渠道会从电子邮件转移至用户量更多的社交媒体。总而言之,犯罪分子使用的网络诈骗渠道和病毒式营销者的渠道是相同的,只是常规的营销者会提供产品或服务。CEO欺诈的防范,是一个综合性的体系,攻击越来越复杂和定向,防范体系必须要全面,全员的安全防范意识教育不能拖后。

昆明亭长朗然科技有限公司推出了专门针对职场人员的社会工程学防范意识课程,欢迎有需要的客户或伙伴们联系我们,洽谈合作。当然,如果您对文中的这个话题有兴趣或者有自己的观点看法,欢迎联系我们,以进一步深入探讨。

  • 电话:0871-67122372
  • 手机:18206751343
  • 微信:18206751343
  • 邮箱:info@securemymind.com
  • QQ:1767022898