服务商教坏入侵者给我们什么启示

最近,一家网络安全意识软件公司披露说,他们的模拟网络钓鱼模板设计被黑客利用,对一家知名的IT外包公司发起了攻击。该公司首席执行官称:该黑客“使用他们自己的代码和服务器来下载和复制模拟网络钓鱼模板,作为攻击的一部分,以实施攻击”。

稍后,在媒体面前,为了撇清干系,该首席执行官又补充道,“除了使用模板设计之外,没有证据表明黑客使用了我公司的模拟钓鱼软件产品。”

近些年,网络安全界出现了一个新的产品和服务,就是模拟网络钓鱼。对此,昆明亭长朗然科技有限公司网络安全培训专员董志军表示:这个产品在海外很受企业界欢迎,但是在国内则由于合规性以及敏感性,在关键基础设施行业并没有多少成功的使用,其它竞争性行业往往没有多少网络安全预算,所以很多人并不知晓。说起它的原理,其实就是针对终端用户进行渗透攻击测试。就是像不法分子那样,对目标人员进行社交工程诈骗或网络钓鱼攻击,看他们会不会上钩,并以此来进行安全意识教育。

这其中就会使用到内容模板,这模板就如同电信诈骗中的“话术”一样,是设计来好使“合法用户可以让他们的同事和客户暴露于逼真但模拟的网络钓鱼和社会工程攻击”。比如,针对不同的目标,要编出合适的有针对性的场景“脚本”、虚假网站登录页面以及钓鱼消息模板等等。

但是,这种模拟攻击往往会过滤掉敏感的信息,比如将用户的密码(部分)进行掩盖。真实的不法分子则不会这样,他们显然从“正派”的“网络安全意识软件公司”受到了一些模板创意的启发。从某种意义上讲,这就是正派的安全公司在教唆邪恶的犯罪分子。如同在网络提供网络入侵方法教程一样,您可以自辩说只有人们懂得如何攻击,才能更好了解如何防范,但事实是很多不法分子只拿来用于攻击比他们弱的受害者。所以,在一些努力保护弱者的社会治理环境下,这些渗透攻击相关的培训服务往往被禁止。对此,阿里巴巴集团的安全专员们也有类似的同感和困惑,一些新型的骗局,如果及时公布的话,不法分子往往领悟得更快,结果保护大部分用户免受新型威胁的理想没能实现,反而让更多的“安全弱智”用户成为精明的犯罪分子的受害者。

这种事情不是个案,其实在泛安全行业,很多安全公司和从业者都“唯恐天下不乱”,因为只有乱了才需要治,才会有更多的钱财投入。笔者曾经就职过多家国内外安全公司,经常会有老板经理们私下表示,应该对潜在客户发起黑客攻击,以让其受“教训”之后花钱采购相关安全保护产品和技术服务。

在公共安全及国家安全领域,警匪一家亲,双面间谍的情况很普遍,只是有的可能比较轻微,或者没有被人们发觉。警匪往往有一定的默契,安全人员并不会把犯罪分子赶尽杀绝,以免落得个“鸟尽弓藏、兔死狗烹”的下场,甚至还会纵容、鼓励甚至赞助和参与一些犯罪活动。当然,人民的眼睛是雪亮的,很多人会发现或怀疑自己无辜地受到了保护者的侵害,责骂那些无良的安保者“监守自盗”是没用的,那该如何应对呢?对此,董志军强调:没有别的方法,只有自己强大起来。

不要认为,我们每个人都有自己的使命,并非安全方面的专家。其实普通人只要掌握一些常规的安全防范技能,在国家和社会力量的保护下,就可以轻松应对绝大部分不良的安全“砖家”和不法分子。不要以阿里的个别情况来给自家找无为的借口,阿里是个世界性的大平台,他的绝大部分用户并非自家的员工,甚至还有很多犯罪分子混在用户之中。

一次成功的安全入侵背后,都有大量的安全弱点,做安全应急响应久了,见得多了,就会同意这简直是个真理性的法则。而那些安全弱点,往往都源于人们安全意识的缺乏和安全技能的薄弱。要么人们无知,要么人们违规,不管如何这都表明人们需要足够的安全意识培训。

我们不能仅仅依靠防病毒、防垃圾、防火墙或硬件防御设备。董志军强调说:人是很复杂的动物,当您的网络安全供应商和不法分子沆瀣一气之时,当不法分子从安全服务商那里寻找针对终端人员的入侵灵感之时,您该静心思考,是时候让您的终端用户强大起来了。

昆明亭长朗然科技有限公司多年来从事信息安全意识宣教,我们可以帮助各类型的客户对其员工进行信息安全意识宣教活动,不管您有任何的相关疑问或需求,都欢迎联系我们,共同探讨让用户变得强大,变得更安全、更聪明之道。我们也欢迎业界精英与我们携手并进,合作共赢。

  • 电话:0871-67122372
  • 手机:18206751343
  • 微信:18206751343
  • 邮箱:info@securemymind.com
  • QQ:1767022898

再谈社会工程攻击

阳光明亮的早上,您醒了过来。就像大多数人一样,您匆匆赶到工作单位,检查您的电子邮件和即时消息。您看到一封来自您认识的人的电子邮件,上面写着:您好,我正在为一个很棒的慈善机构筹集资金,需要您的支持,请点击这里,这样我就可以实现我的目标并帮助这么多人。

您想帮助您的朋友,这是一件有价值的事情,所以很自然您就点击了该链接,网站为您提供了登录各大银行和支付宝、微信等账户的登录选项,这是非常方便的功能,所以您很自然地输入其中某家银行的登录名和密码。让您没有想到的是,不一会儿,您收到显示为该银行号码的来电,自称是银行工作人员,说感谢您支持慈善事业,并向您询问登录网银的短信验证码。在您告知对方短信验证码之后,您警觉起来了,甚至后悔轻信对方了。可是这时晚了,您又接连收到几笔转账的短信,这些都不是您操作的!

您通过电话联系到给您发邮件的人,对方称他/她的邮件被人恶意利用了,您已经是第五起受害者了。显然,您遇到社会工程攻击了,犯罪分子精心盗用了他人的邮箱并向您发送了钓鱼邮件,其中含有钓鱼网站链接,通过自先制作了的钓鱼网站,获得了您的网银账号和密码,进一步,冒充银行工作人员,骗取了您的短信验证码,就是突破了网银的双因素验证。

其实,您并不独单,社会工程攻击的实例很多,各行各业都有。昆明亭长朗然科技有限公司网络安全专员董志军说:比如免费软件中捆绑流氓插件、包含病毒附件的垃圾邮件、网络钓鱼、中奖短信、诈骗电话、免费试听课程等,都是典型案例。

社会工程攻击,在信息安全语境下,是一种利用“人性弱点”实施网络攻击,操控人们执行相关动作或泄露机密信息的行为。准确地说,社会工程学不是一门科学,而是一门艺术或窍门,它利用欲望、软弱等人性弱点,令人上当受骗。

社会工程攻击步骤社会工程攻击大致可以分为如下几个步骤:

信息搜集

通过各种手段获取被攻击者非敏感信息,包括被攻击者的姓名、职位、电话、电子邮箱、单位关系等。

假冒身份

攻击者获取信息后假冒身份,将自我包装成被攻击者的熟人,博取被攻击者的信任、好感或同情。

施加影响

通过一些外在的光环,名人等,博取好感,通过求同,老乡、同学、爱好相同,博取好感,通过互惠原则,赠送小礼品,骗取好处,通过社会认同感、权威专家等施加压力博取认同。

实施攻击

通过以上步骤后,实施最终攻击。

对于网络信息安全,人们的认识通常存在一个误区,就是认为信息系统的安全与软件、硬件、网络等方面相关,而忽视了操作软件、硬件、网络的“人”这个最重要因素。诚然,在技术层面上,可以通过花费人力、物力和财力,建设出更加安全的防护系统,然而一旦出现内鬼或管理员不慎泄露密码,所有的一切都将徒劳无益。

网上银行,通常被认为是技术安全级别较高的,在本文开篇的场景中,密码和手机短信验证码就是典型的安全技术措施,短信验证码是特别为防止犯罪分子盗窃了用户密码而设计的多重身份验证措施,可是在社会工程攻击面前,仍然存在被骗取的可能。

安全防范有三招:人防、物防、技防。在信息安全领域,人防的重要性越来越突出,为帮助各类型的组织机构提升员工的安全意识,形成一道强有力的安全人员防线,应对数据泄露和网络入侵,保护合法的收益免受不法威胁,昆明亭长朗然科技有限公司创作了数百部网络安全教育视频课程以及宣传图片,数百万学员通过我们的作品提升了安全防范意识、信息保密意识及合规守法意识,不仅保护好了自己,也给所在工作单位带来了安全收益。欢迎有类似需求的领导们及信息安全产品厂商、服务商、合作伙伴们与我们联系,洽谈业务合作。

昆明亭长朗然科技有限公司

电话:0871-67122372
手机:18206751343
微信:18206751343
邮箱:info@securemymind.com
QQ:1767022898