减少社会工程学攻击和电信诈骗的攻击面

互联网已成为非法活动(也称为网络犯罪)的场所。现在,当谈到虚拟世界时,我们面临的风险比以往任何时候都大。这是因为我们人类在创建这个技术世界时,在系统中留下了所有这些敞开的大门,那是任何网络犯罪分子都可以访问的大门。对此,昆明亭长朗然科技有限公司网络安全研究员董志军表示:除了技术漏洞之外,还有管理漏洞、制度漏洞和人性漏洞。最难修复的是人性的弱点,即多年来的顽疾,即使在当下仍然非常流行的“社会工程学攻击”和“电信诈骗”攻击。其实,不管如何称呼这些术语,它们表示的意思很接近,互相交叠甚至在不同的话语体系中互相包含。作为网络安全专业人员或普通工作人员,没必要过于“学究”它们。

社会工程学攻击可以在哪里进行呢?可以亲自到现场、通过电话或计算设备进行,可以在工作场所中、在外漫游中、甚至在家里进行。谁可能成为社会工程师(社工骗子)呢?任何人都可以!只要他们试图欺骗您相信他们是别人!社会工程师用来让其他人相信他们是他们所说的人的不同技术有很多,包括:劝说、冒充、奉承、伪证、伪善……

尽管文革一代对他人普遍缺乏信任,遇事常常犹豫不决,但是老一代可能更容易受到电话诈骗等老年骗局的影响。高级用户可能更倾向于使用古老的服务台诡计,因为他们更愿意通过电话共享信息。而千禧一代更是容易受到新型电信诈骗等社会工程骗术的糊弄,因为他们涉世未深,加之从出生开始,就生活在相对富足、和平、文明和充满友爱的环境,所以他们更容易相信他人。抛开年龄因素,要有效应对社会工程学攻击,安全意识培训必不可少,组织机构需要全面的安全政策,安全政策可以帮助消除一些人为错误和一些人为偏见。例如,安全政策可能是每位员工都必须通过简单的检查来验证此人是否是他们所自称的身份,以确保没有社会工程师试图成功在组织内假冒身份。另一个例子可能是内部敏感信息是保密的,任何想要访问它们的人员都必须获得适当的验证、授权和行为审计。

安全意识培训并非放之四海而皆准的,重要的是要记住,并非每个文革一代或千禧一代都适合同样的学习模式。打击日益增多的网络犯罪的最佳解决方案之一是使用电子学习来提高安全防范意识。然而,即使有人认为文革一代可能不适合电子学习,其实也不见得,每个人是独特的个体,人们的年龄只是影响他们对安全态度的一个因素。电子学习是一种有效的方法,只要易用,可以有老年模式,对学习者并没有年龄方面的限制。无论受训者的年龄如何,安全意识培训的目标都应该是提高用户在网络安全方面的成熟度,这包括对信息资产、对手(威胁)及其动机、攻击面的透彻了解。

有几种不同类型的社会工程学,比如:电话攻击是一种允许攻击者通过电话直接获得可用信息的黑客攻击类型。不论是谁,如果接到陌生的电话时不保持警惕,无疑都可能遭受社会工程攻击。除了电话之外,企业级的沟通渠道越来越多,不管是邮件,还是社交媒体,社会工程师通常会使用欺骗和说服手段从公司企业和机关单位获取重要或秘密信息。防范社会工程及电信诈骗,每位员工都应该接受全面且更新的安全政策的培训,每位员工都需要被告知并了解社会工程学,以便知道如何与之作斗争,每位员工也都需要在一定程度上保持怀疑精神,即在通过合法来源进行验证之前,不要总是相信人们所自称的身份。

网络安全战略已列入全球大多数组织机构的董事会议程,在越来越数字化的未来,员工和客户将愈发精通数字技术,并希望您在不打扰他们的情况下保护他们。传达网络安全信息并确保所有员工保持网络安全免于社交诈骗不再是一项小众活动。电子学习可以提高网络安全意识的方式,该方式结合创造性和务实的策略来强化组织的人类防火墙。加强人类防火墙包含一套鼓舞人心的意识和参与策略。其中包括:所有员工都需要接受如何使用计算系统以及如何创建良好的用户名和密码的培训,以保护好他们的工作虚拟身份,免于被社交骗子盗用。当然,除了传统的账号与密码之外,社交工程师亦可能骗取人们的智能卡、生物特征、多因素验证码、甚至远程桌面。所有员工需要知道这一点,可以通过最新的、刺激的、面对面的研讨会或互动式学习来激励他们,体验式学习和游戏化在高级管理人员中非常受欢迎,在普通员工的安全意识培训活动中也能获得非常可喜的回报。

数据安全越来越受到重视,因为数据的价值不菲,个人信息和隐私更是受到各国法律的严格保护。垃圾桶中翻出员工、客户或供应商通讯录的情况并不少见,员工在外弄丢包含大量客户数据的计算设备的安全事件也时有发生,这些情况并非传统的IT部门或安全部门可以完全防范的,每个人都需要明白,安全是所有人员工作的一部分,而不仅仅是IT部门或安全部门的工作职责。因此,员工们需要接受培训,了解如何判断信息是否属于机密、个人或敏感信息(信息的安全级别),该类信息的安全保护要求,以及这些信息的正确处理方法。

在很多情况下,网络犯罪分子会使通过发送带有无文件恶意软件的电子邮件来进行诈骗。所有这些攻击的最终结果是长期人质围攻的风险,攻击者在整个网络中潜伏下来并设立指挥所。所有新员工都需要通过电子邮件使用方面的安全培训,以获得慧眼,识别出钓鱼邮件。典型的钓鱼邮件特性包括:通用的称呼、语法中的小错误(拼写错误、用词不当、奇怪的别字、火星文)、声称是需要紧急处理的、威胁或恐吓的语气、请求过度的信息、拒绝提供联系方式等等。模拟训练是获胜的关键,如果针对社会工程攻击的网络战争中有灵丹妙药,那无疑就是安全意识教育。我们可以通过有效的员工意识培训帮助组织赢得这场战争。

不怕一万,就怕万一。基于计算机的安全意识培训计划,通常提供针对当前社交工程攻击手法的最佳防御,但是万一出现社交工程学攻击呢?员工们需要直面安全事件并做出积极的响应,即使员工只是怀疑遭到社会工程学攻击事件,也应该及时报告该事件,同时通知其他同事,以免他们成为同一骗局的受害者。当然,在这个过程中,员工们处在事件的核心,应该注意遵守组织的安全政策,未经适当验证,勿泄露任何敏感信息。在不泄露任何个人或工作信息的情况下,还需保持冷静并尽可能友好,以免误伤或激怒对方。如今网络威胁引发的安全事件很容易成为新闻的焦点,员工们亦需要得到教育,未得到公共关系部门的审核批准授权,不能随便披露该事件,以免引发谣言,伤及组织的形象和信誉。安全事件报告与响应不是人人都能磁上的,但是每个人都需要知晓轻重,因此相关课题(模块)的安全意识培训必不可少。

跳岛攻击(供应链攻击)近年来较为流行,社会工程师通过拿下合作伙伴“建立信任并执行受信任的社会工程攻击”,尝试可以通过合作伙伴提供的虚拟桌面基础设施访问、专用网络链接和VPN服务。很多员工默认合作伙伴是可信的,而调查称:警惕的员工可以避免以上的80%跳岛攻击行为或安全事件。除了电子学习和社会工程测试(模拟训练)之外,还通过源源不断的发人深省的时事和多媒体(视频、播客、信息图表、月度公告、提示和警报)消息吸引员工们。总之,社交工程的攻击面越来越大,我们需要全面的信息安全培训和意识计划解决方案。

不同类型的组织机构有不同的灌输信息安全意识文化的方式,对于传统的制造业,讲师与黑客“对话体”式的安全问题探讨,更容易助力学员形成启发性的安全思维习惯,进而影响行为。在传统制造业,许多员工仍然认为网络安全是IT人员需要担心的事情,虽然这在一定程度上是正确的,但是使用格言“举全村之力”更为恰当,因为制造业越来越信息化和智能化。而在科技行业,员工们必须了解知识产权和商业秘密保护的重要性,在金融行业,员工更需要了解数据隐私和个人信息保护的重要性。当然,对于所有行业,所有员工,尤其是高级管理人员,都应该参与网络安全培训。管理层更需要以身作则,做出安全承诺及表率,与普通员工建立网络安全政策、合规遵循的最佳实践典范。

回到社会工程攻击和电信诈骗,经过全面的网络安全意识培训,员工们通常能够为骗局做好了应对准备的机会。例如,每个人都可以避免点击来自未知发件人的链接。但是,当发件人冒充同事特别是领导并坚持要向他们借钱或转账时,他们会怎么做呢?现实情况是很多人会汇款。员工甚至CFO都可能会在压力下感到慌乱或屈服,除非他们以前遇到过这种情况,或者受到相关场景式的互动培训。因此,我们可以协调内部或与外部网络安全专家进行多种场景的模拟练习。通常可以基于攻击历史,根据组织机构的复杂性,持续几个小时甚至几周,安全意识培训团队可以预定义任意可能社交诈骗场景,并做出关键的防范决策以消除该类威胁。模拟练习可以使员工们在面临高压和不断升级的情况下,训练承受力、定力以及合规性,进而为实际攻击的发生做好应对准备。

简而言之,减少社会工程学攻击和电信诈骗的攻击面的关键在于安全意识和模拟训练。统计表明:在人员方面进行的信息安全投入,回报是巨大的。昆明亭长朗然科技有限公司积极顺应时代变化,专注于帮助各类型组织机构解决“人员”方面的安全风险,我们创作了大量的教程资源内容,包括安全、保密、合规等主题在内的电子图片、动画视频、互动游戏和电子课件,同时,我们拥有基于云计算的弹性学习管理系统和模拟练习平台,可以帮助各类型机构快速发起针对全员的安全意识在线学习计划,进而修复安全防范体系中“人为因素的弱点”。欢迎有兴趣的朋友联系我们,预览课程内容和洽谈采购事宜。

  • 电话:0871-67122372
  • 手机、微信:18206751343
  • 邮件:info@securemymind.com

电信诈骗不是技术问题而是人性问题

如何定义电信诈骗

近年来,利用电话、短信、互联网等途径的各类电信诈骗活动持续高发,犯罪分子的诈骗手法不断变换翻新,让人防不胜防,给广大公民的财产和人身安全带来了巨大威胁。

电信诈骗,是指犯罪分子利用电话、短信、传真和互联网等通讯工具,假冒国家机关、公司、医院、朋友等名义,谎称对方中奖、退税、家人出现意外、朋友急事、出售有偿信息、投资分红等,骗取受害人信任后,诱使其将钱汇入指定银行账户的一种诈骗活动。

电信诈骗利用了哪些人性中的心理弱点

利用人们保护财产安全的心理进行诈骗。冒充司法、电信工作人员进行恐吓。打电话给受害人,称其身份证或信用卡被盗用,从事洗钱等犯罪活动,要求受害人将钱转入所谓的安全账户。

利用人们保护人身安全的心理进行诈骗。声称受害人亲属出现意外须急救,或者以杀手威胁人身安全或虚构绑架等手段,胁迫受害人汇款。

利用人们恐上的心理进行诈骗。打电话“猜猜我是谁”或冒充上级要求受害人汇款、发送公司核心机密信息等。

利用人们贪婪、占小便宜等心理进行诈骗。多以虚构中奖、低价卖黑车、炒股推荐、无息贷款、购房、购车退税等信息进行诈骗。

利用人们疏忽、麻痹大意进行诈骗。多以虚构招生、参军、招工、代孕、婚恋交友等信息进行诈骗。

电信诈骗的特点

蔓延性比较大。犯罪分子往往通过拨打电话、群发短信的方式发布虚假信息,不受时间和地域限制,在极短的时间内发布范围很广,所造成的侵害面和损失也很大。

诈骗手段不断翻新。从最初的短信群发器到目前的任意显号软件,电信诈骗已经成为一种采用高科技的诈骗行为。

诈骗借口与时俱进。从最初的中奖诈骗到目前较多的绑架勒索、电话欠费、汽车退税等。骗术不断花样翻新,令人防不胜防。

防范电信诈骗的几个原则和策略

“理性”原则,遇事不慌、克服恐惧、沉着应对

如果收到出乎意料的信息,首先给自己几秒钟冷静一下,然后再理性地考虑一下该信息的真实性和可靠性,可以通过其他途径对信息进行确认,以防信息不足、上当受骗。

“自控”原则,战胜诱惑、不捡便宜、不走捷径

缺少足够的定力很容易上当受骗,不贪小便宜、不耍小聪明,即使天上掉馅饼也不捡,抱着一颗平常心对待和分析任何信息,控制住欲望,抵御住诱惑,骗子的伎俩很容易被戳穿。

“踏实”原则,用心负责、认真仔细、杜绝大意

骗子往往故意制造紧张气氛,利用人们慌乱着急或疏忽大意的机会行骗,任何时候都要保持踏实处事的风格,避免稀里糊涂行事。

“三不一要”

公安机关提示的“三不一要”,即不轻信、不透露、不转账、要及时报案。具体地说,就是不轻信来历不明的电话和手机短信,不随意透露自己及家人的身份信息、存款、银行卡等情况,不向陌生人汇款、转账,发现被骗立即向公安机关报案。

技术性PK非技术性

对已知病毒、黑客攻击、广泛型垃圾邮件或钓鱼邮件,我们可以通过技术性手段拦截。非技术性的诱饵、心理游戏、假托或谎言,可不是那么好对付的。对此,昆明亭长朗然科技有限公司网络安全研究专员董志军说:非技术性的犯罪活动,可称为“社工诈骗”,当然与之对应的是,我们也需要非技术性的应对和防范手段。

更多针对企业客户的社工诈骗

诱饵——攻击者利用有价值的东西引诱目标上当:他们可能会将一个闪存盘放在有人经过的地方,或将恶意文件上传到很多人会下载的网站上。

假托或谎言——有些攻击者可能会假冒权威人士或您信任的人,以索要敏感信息。例如,攻击者可能会冒充IT帮助台,以解决您的某些计算机问题为名,向您索要用户名和密码。

心理游戏——攻击者可能会向您发送邮件,或打电话回复一个虚构的问题。这可以让攻击目标认为他或她只是忘记了他们此前的某段对话,因而更有可能交出信息。

尾随——攻击者可能会等在锁紧的大门旁等着收集您的凭证,从而进入门内。

垃圾邮件和钓鱼——这两种方法都依靠电子邮件来引诱受害者上钩。大多数垃圾邮件都寻求经济利益,而钓鱼邮件则通常以窃取敏感信息为目标。

企业员工需知的社工诈骗防范知识

您能做什么呢?银行绝不会要求您提供信用卡密码。IT部门永远不会要求您提供密码。如果他们这样做,他们要么没有受过良好的训练,要么就是社会工程学黑客。在这两种情况下,您都应该拒绝提供密码。更进一步,您应该挂断并根据公司的架构分工,将事件报告给您的经理、IT部门或安全经理。

如果您认为自己可能泄露了有关贵组织的敏感信息,请不要犹豫,将其报告给贵公司的负责人,包括网络管理员。他或她可以处理任何可疑或不寻常的活动。其次,您应该立即更改可能泄露了的所有密码。如果您确实为多个应用程序使用了相同的密码,请确保为每个帐户更改密码,并且不要再次使用该失窃了的密码。

加强电信诈骗防范及社会工程学攻击防范意识

孙子兵法说:上兵伐谋,其次伐交,其次伐兵,其下攻城……攻心为上,攻城为下;心战为上,兵战为下。网络不法分子深知这点并熟练应用,有效的应对之策仍然是强化人员对常规诈骗手法的认知及提升人员的安全警惕心。

昆明亭长朗然科技有限公司推出了大量针对个人及企业客户的社会工程学诈骗防范教学视频、动画短片以及电子教程,欢迎有兴趣及有需求的客户与合作伙伴联系我们,洽谈业务合作。

  • 电话:0871-67122372
  • 手机:18206751343
  • 微信:18206751343
  • 邮箱:[email protected]
  • QQ:1767022898