如何应对敢下“血本”的网络窃贼

据了解,最近,网络攻击者为了发起大规模网络钓鱼,不惜投入“血本”,其中就有使用数百个域名,来窃取在线平台用户凭据的“骚操作”,其中不乏使用银行插件木马者,以及偷偷启用远程桌面进而击溃包括指纹验证、短信验证、面部识别等在内的多重身份验证措施的“神操作”。对此,昆明亭长朗然科技有限公司网络安全研究员董志军表示:通过克隆方式,快速建立虚假网站,骗取用户名和密码的方式,容易被举报进而坍塌,所以一些攻击者变得“不讲武德”,开始注册大量域名,用完即弃,这让侦测钓鱼网站变得困难。同时由于越来越多的网络服务开始启用双重身份验证,要突破这个挑战,使用“客服人员”进行诈骗,成本过高,所以借用诸如NoVNC之类的HTML/JS工具库,嵌入网站或应用中,让用户界面在不知不觉中连接到黑客的“远程桌面”,进而完成身份的二次验证。

这种秘密的操作方法,理论上并不复杂,即所谓的“中间人攻击”而已,算不了什么创新。然而,结合隐藏式远程桌面的方式在此前并广为人知,因为似乎并不易实施。现在,既然该方法都已经被先行者用于实践,在媒体上曝光之时,就如同潘多拉魔盒被打开。相信,罪恶的黑客程序员们开始了军备竞赛,网络安全专家们将面临的是一场正邪较量的持久战。

问题的根源何在?这些年来,网络安全行业得到迅猛发展,计算机病毒都难遭遇到几个,黑客们似乎也都变得很“低调”和“务实”。为什么在网络安全领域,强大的正义之师总是受到黑暗的邪恶势力发起强有力的挑战呢?拿上述实例中暴露的问题来讲,对用户身份进行除了用户名和密码之外的二次鉴别,以防范身份盗窃的技术防御体系,虽然给窃取了用户名和密码的盗窃者增加了麻烦,但是最终还是面临着由于用户被钓鱼的严峻挑战,不管是通过浏览器,还是移动应用的方式。说到底,安全防护技术,可以解决系统方面的弱点,却无法防范胁持用户的网络骗局。而网络不法分子们成功对用户的胁持,要么借用认知的差距,要么借助人性的弱点。

关于认知的差距,源自教育、区域、文化、年龄、性别、专业等差距,人们有受教育程度高低之分、有城乡区域甚至数字经济渗透度之分、有文化信仰之不同、更有年龄的巨大差距、性别造成的性格特点的不同、职业中信息化程度的不同等,这些都会造成人们对网络安全知识的鸿沟。成长于一线城市数字时代的年轻人,只要有心,欺骗初次使用手机的山村老人,那根本不是什么困难的事儿。这种差距能消除吗?能拉平至少拉近一些吗?答案很残酷,不能!至少困难重重,所以,从这一点讲,以网络钓鱼为代表的诈骗,将长久存在。

而人性的弱点(和优点),比如贪婪(热情、执着)、轻信(友善、同情)、虚荣(上进、勇敢)、从众(随和、亲切)、恐惧(安乐、规矩)和大意(宽容、博爱),是非常复杂甚至交错的,与生倶来的,对立统一而又矛盾关联的。不是这方面被利用,就是那方面被利用,永远没有完美的人可以逃脱网络不法分子(更广义讲,商家们、营销人员们)的恶意利用。

如此说来,正义的人们,就该受到敢下“血本”的网络攻击者们的“任意宰割”吗?不!至少,通过一定的努力,在一定程度上,可以弥补认知的差距,认识到利用人性弱点的技俩,进而减少甚至规避因网络盗窃,而带来的损失。世界很大,荡平天下,拯救世界,是“大丈夫”难以实现的终极目标。然而,最可行的也是最迫切的,仍然是先“扫一屋”,即提升自我,提升身边人,提升职责范围内人们的安全认知,减少与网络攻击者们之间的差距。同时,加强对内在“自我”和外部“世界”的认知,不断强化心性的修炼,以达到最接近“完美”的和谐的、可抵抗常规诈骗的成熟至臻状态。

昆明亭长朗然科技有限公司推出了大量的网络安全意识宣传教育内容,包括动画视频、平面图片和电子课件资源,其中也有网络安全相关的法规科普,以及员工们需知的数据安全保护知识,欢迎有兴趣的客户及行业合作伙伴联系我们,预览作品以及洽谈采购合作。

  • 电话:0871-67122372
  • 手机、微信:18206751343
  • 邮件:info@securemymind.com

网络安全更应关注管理问题和人为问题

传统上,不法分子使用电信诈骗手法针对网银用户,比如架设一个用于套取密码的假冒网站,通过海量发送“您的账户需要验证”、“点击链接领取退款”等诈骗短信,来吸引缺乏警惕或粗心大意的用户上钩。经过银行、公安、电信等多部门的联合反制,包括意识宣教、诈骗监测以及转账限制等手段,近年来这种骗术明显少了许多。不过,从人民银行一名工作人员那里得知,最近几大国有银行遭遇了新型的网络攻击,具体情况是很多用户的身份信息,包括姓名、支付卡号码、身份证号码、手机号码、密码等等被不法分子通过含有恶意软件的假冒网银APP给窃取了。

几大国有银行立即采取排查行动,及时通报受影响的用户,提醒其立即修改密码。令人意外的是,“官方”银行发出的不少提醒消息,包括电话和短信,大部分都被智能手机判定为“疑似”诈骗。即使接到电话或短信,很多用户也把其当是诈骗,并采取了立即删除短信、挂掉电话或与对方进行调侃等行为。从这类事件我们可以看出,网络安全问题的核心已经从技术问题转移到人为问题,而人为因素是非常复杂的,解决起来要比预想中的困难很多。

回顾很多网络安全入侵,包括近年来让各类机构损失惨重的勒索软件泛滥之源,都是包括操作系统在内的应用程序没有得到及时的漏洞修补,进而被勒索软件利用。然而,继续深挖会发现,应用程序的安全补丁没有得到及时安装,是因为对该工作负责的人员比如用户和IT管理员出现了疏忽大意。而且,很多机构的数据被加密之后损失惨重,因为他们没有行之有效的数据备份程序,更别谈什么高可靠性、灾备、业务持续性和灾难恢复计划了。对此,昆明亭长朗然科技有限公司网络安全管理专员董志军说:网络安全需要稳健可靠的技术控制措施,更需要行之有效的管理控制措施。有很多技术方案听起来很简单,做起来也不难,然而大规模的数据泄露和损毁事件却经常发生,网络安全问题仍然不时登上头条新闻。问题何在呢?再多的技术解决方案,没有人员参与工作流程的执行,就没有真正的实效。因此,网络安全本质上更多的是管理问题和人为问题,必须从管理的角度,从人员的角度加以考量和解决。

比如,针对桌面型终端设备,有些机构使用自动化的安全补丁修复方法,以便以最快速度安装安全修复程序,但最终用户却并不及时点击安装,更不愿在工作时间重启电脑,这就造成了一定的时间差,给“零日漏洞”攻击带来机会。问题不在技术,而在于管理流程的缺失和人员安全意识的不足。而针对重要的信息系统如服务器等,补丁修复的流程可能包含测试、备份、回滚预案、审批等等控制点,管理员和审批领导如果正好不在岗,或者稍一懈怠,等流程还没跑完,已经给“零日漏洞”攻击带来了巨大的时间窗口机会。重要的信息系统稳定可靠是第一位的,打补丁是重要的变更,相关的控制要严格,这是可以理解和认可的。但是安全漏洞也得及时修复,不然系统的稳定可靠也会受到影响,这两个问题看似矛盾,实则非常统一。解决之道是根据漏洞的紧要级别,设置修复相关工作流程的时间限制。这个道理很简单,操作起来却还需要很多系统管理员、IT经理和最终用户们强化规范操作意识、安全意识,并谨慎对待。

让我们再想一想,从技术操作来讲,安装应用程序的补丁,就运行一两个命令,或者点击“安装”、“重启”按钮而已,而在管理和人为因素方面来说,问题就很复杂。补丁有没有能够及时安装,问题不在技术,而在管理和人员。让我们跳出“应用程序”补丁的范围,从更广阔的“安全漏洞”来看,各行各业各种机构都会有各种安全漏洞,如果被恶意(有意)利用,甚至只是无意的失误,都可能带来严重的灾难,造成巨大的损失。在安全漏洞面前,人们可能无知或忽视,可能选择视而不见或者躲避绕行。而为安全负责的管理者必须做出行动,制定强有力的管理措施,推进安全漏洞的发现、报告和修复行动,提升人们的安全意识和觉悟,让人们重视并谨慎对待安全,进而改变人们的安全行为。

建立可靠的网络安全管理流程,让安全制度和规范成为可重复性的运维工作,是网络安全工作的关键。如果一家机构经常测试和上线各式各样的网络安全系统或设备,那无疑是管理失败的或者借机搞钱腐败的。在网络安全的人为因素方面,要让人们拥有基本的网络安全知识不难,要纠正人们的粗心大意,要让人们拥有足够的安全敏感度,可不容易。需要在安全意识方面不断加强,培养用户良好的网络安全行为习惯。对此,董志军补充说:我们应该有足够的信心,人们既然能够养成外出关家门的习惯,也必然可以养成离开座位清桌锁屏的习惯,以及看到安全补丁修复的提示,就立即安装并配合重启的习惯。

总之,在网络安全领域,技术措施必不可少。同时,技术的创新解决不了复杂的管理问题和人为问题。在当下,组织机构应该从管理和人员因素入手,一步步解决网络安全问题。昆明亭长朗然科技有限公司专注于帮助各类型的客户加强对职工们的安全意识提升工作,我们理解客户面对的网络安全管理问题和人为问题,通过我们的作品和服务,帮助客户提升网络安全价值。欢迎有兴趣的客户及合作伙伴联系我们,预览作品和进行商务采购。

  • 电话:0871-67122372
  • 微信、手机:18206751343
  • 邮件:info@securemymind.com
  • QQ: 1767022898