信息安全意识培训之情景互动——黑客社交攻防大挑战

如何有效防范黑客的攻击?在不同人员的眼中方法各有不同,IT部门倾向使用入侵检测与防御系统,通讯部门乐于推荐加密电话,公关部门建议总裁高管们保持低调,安全部门希望能加强门禁控制和安全巡逻,人资部门则喜欢对可疑员工的背景进行审查,而大量员工则是认为面对黑客高手,常人应该束手无策,乖乖就犯。

实际上,不管组织大小,几乎所有员工都会面临各种类型的黑客攻击,这种广义的黑客攻击不仅仅包含黑客远程发现了组织的网络系统漏洞,并成功溢出这些漏洞和加以利用,实际上,更多的是形形色色的诈骗活动,在这些诈骗手段中,社交工程学Social Engineering则是非常主要的一种,而且是非常难以防范的一种。

这两年有一个比较热门的词汇APT,高级可持续性攻击,它实际上是一个有组织的黑客团队,在长时间内,综合多种攻击方式和手段,不断渗透组织的结果。而APT之中,社交工程学被运用到了极致。

因为社交工程学主要是针对人员的弱点,所以使用各类安全技术控管措施几乎难以帮忙,唯有通过有效的安全意识培训来提升员工们的安全警惕度和防范知识水平。而要提升社交工程防范,靠一些枯燥的专业说教帮助不大,员工们需要实实在在的案例。可是想展示组织内部的真实案例出来给员工,则成本高昂,原因是社交攻击伤不起。

如何才能让员工有社交网络攻击的亲身经历呢?使用模拟的社交攻击情景练习是最上策,展示他人的社交工程攻击案例并不足够,因为旁观者往往无法真实体验到受害者当时的心态特征和心理活动,而社交工程攻击者正是利用人们的这些心理弱点取得成功的。

此外,通过雇佣专业级的社交工程攻击黑客对公司职员进行入侵实战演练也是一种不错的方式,不过这种方式往往耗费不菲,昆明亭长朗然科技有限公司的安全培训讲师James Dong称:更容易接受的一种方式还是通过模拟的互动教学,这种方式已经在众多领域比如航空航天人员的技能训练里成功实施。

比如,如果雇佣黑客来通过电话渗透攻击组织的大量员工,所需耗费的电话资费和时间巨大,但是如果利用现代的信息技术,设计互动挑战游戏,便可轻松让全体员工参与到虚拟的黑客电话社交工程攻击防范活动之中。

我们有开发制作系列的“信息安全意识情景互动测试”,常规场景是黑客冒充官方人员比如公司高管,通过电话向员工套取密码的一个挑战,员工们只需完成一次参与,便终身难忘其中的教育意义,当然,安全教育的目标也就在轻松的娱乐游戏之中实现。

如果您对本互动游戏感兴趣,或想对此文谈谈您的观点,欢迎联系我们,以及洽谈业务合作。

电话:0871-67122372

手机:18206751343

微信:18206751343

邮箱:[email protected]

QQ:1767022898

互联网诈骗分子的美好时光

电子商务越来越便利和高效,激烈的竞争使人们能够以较低的价格获得更为优势的商品和服务。通过网络购买心仪的物品,不仅是一种省钱之道,体现中国民族的节俭美德,更是拉动内需和促进社会和谐发展的重要力量。

在众商家获得大量真金白银的时候,网络犯罪分子也在兴奋地数着黑钱,并且策划着掀起一场更大的更新的在线帐户盗窃和截取风暴。

“节假日无疑也是互联网犯罪分子的黄金作案时间。”昆明亭长朗然科技有限公司的副总、互联网安全研究员Bob Xue称:多数人们在津津乐道阿里巴巴和京东的创富神话之时,却不知道在阴暗的世界里,互联网黑客们也在拼命抢夺着大量的线上购物用户资源,而且这种抢夺方式是最原始、最野蛮和最赤裸的,因为他们不讲任何商业规则。

除了传统的电脑,平板和智能手机越来越多地被应用来线上购物,然而,多数PC系统的网络浏览器都很老旧,包括XP系统下的Internet Explorer,使用这些过期的浏览器,无疑是在告诉黑客这里有安全漏洞,快来利用!Bob说:有些电脑小白用户喜欢安装一些国产浏览器,并不是说国产的不好,国产浏览器往往会提供一些傻瓜化的网站目录导航,这对于安全上网来讲是一个进步。不过,长期处于这种“安全保护”状态下的用户的安全防范意识、安全威胁识别及响应机能会逐渐弱化,显然他们更容易在复杂多变的新型移动计算环境下受害。

国内的网络诈骗组织从地理上分主要有湖南帮、山东帮和福建帮,不过,由于近年来交通和通讯日渐发达,这些组织往往开始在国内二三线城市到处流窜,甚至藏身海外,以减少被抓获的可能。人们往往很好奇,他们到底有什么法宝能成为互联网地下活动的主导力量呢?有跟踪分析互联网诈骗多年经验的黑客级安全专家Richard Lee展示了网络犯罪分子常用的如下憋脚手段:

1.操控搜索结果,犯罪分子通过雇佣SEO搜索引擎优化专家或购物搜索广告等方式来操控搜索结果,让受害者搜出的结果在他们精心编制的陷阱之中。一旦搜索引擎将流量转到犯罪分子事先构建的虚假网站,便几无完全逃生的可能,要么花钱“购”物,要么被中木马,更多的是享受了整套服务。

2.利用社交网站、发动社交工程攻击,网络犯罪分子也喜欢使用免费的博客、QQ、邮箱、微博或微信等等来拓展生意,有目标性的各类垃圾信息和链接很容易蒙蔽菜鸟用户的双眼。更有社交骗子会通过社交程序传送的各类恶意附件,利用伪装的身分进行线上诈骗等等。

3.向移动终端植入木马,互联网犯罪分子通过各种渠道和手段向手机和电脑设备中植入各类木马,人们刚买到手的移动终端设备可能都已经“病入膏肓”了,更何况这些网络犯罪分子向大量的“免费”应用中放置的木马程序。这些木马程序不仅强制人们点击广告给他们送钱,还窃取个人隐私,比如通讯录和私人文件等等,它们更会记录线上交易的人们所输入的帐户和密码。进而窃取人们的身份信息,用来进行售卖或直接转帐。安卓系统普及率高,但安全管理混乱,尤其是国内的用户无法享受到谷歌的高质量服务,成了木马的温床。

如何才能有效防范这些互联网骗局呢?亭长朗然Bob说:一切需从互联网安全免疫力强化开始:

1.到大牌网站,而不是从搜索引擎搜出的、便宜几块钱的但却从没有去过的无名小站;

2.在不同网站使用不同的密码,定期更改密码;

3.尽可能使用货到付款,或线上刷信用卡;

4.升级电脑系统,修复浏览器的漏洞,如果是装XP的老系统,则使用可以自动升级的Firefox或Chrome浏览器,加上最新的Flash插件。

5.加强安全意识,不要随意接受和开启附件,不要随意点击链接,先静下来,想一想再行动,或许已经不需行动了。

最后,互联网诈骗分子的美好时光永远不会结束,因为正邪较量会一直进行下去,不过相信你看了此文,会有所收获。