你的电脑文件被勒索赎金。要么付清,要么失去。您的银行帐户正在被清空,请点击这里停止。你的朋友去世了,点击这个殡仪馆网站了解更多信息。社会工程恶棍已经达到了新的低点。
社会工程师,即那些利用人类行为获取数据或渗透企业的罪犯,曾经满足于用免费提供或搞笑视频来欺骗人们,然后再释放他们的骗局。今天,社会工程团伙已经转向暴力策略、威胁、情感残忍和可怕的最后通牒。
虽然每矛钓鱼运动使用电子邮件的总数减少和有针对性的数量也有所减少,矛钓鱼活动的数量自己在2013跃升了91%,根据赛门铁克公司2014年互联网安全威胁报告在四月中旬发布。
广告活动运行约比2012年的三倍,并表明用户的认识和保护技术已经推动矛钓鱼者收紧他们的目标和提高他们的社会工程。赛门铁克还报告说,“现实世界”的社会工程师结合虚拟和现实世界的攻击,以增加成功的胜算。
首席黑客Social-Engineer.org克里斯Hadnagy,看到了采用这种战术对企业员工的增加。
“团体正在发送带有恶意附件的钓鱼邮件,”谨慎的员工通常会忽略这一点。
“但是他们接了一个电话,说,‘你好,我是会计部的鲍勃。我刚给你发了一封电子邮件和一份电子表格。我只需要你快速打开看看。’这些因素加在一起会让你相信他们,并采取行动。”Social engineering tactics like these serve as the entryway to the latest internet scams.
1.网络钓鱼用勒索的新致命菌株
勒索抓住企业的关注在2013年Cryptolocker,传染运行Microsoft Windows的计算机并加密所有文件,以及文件共享服务器上。在勒索然后劫持(约$ 500美元),与不可考比特币支付的加密密钥。时间越长,受害人等待工资,价格越高,或者数据可以被擦除。
现在,模仿者密码防御在2014年突然出现,目标是文本、图片、视频、PDF和MS Office文件,并使用强大的RSA-2048密钥对这些文件进行加密,这是很难撤销的。它还消除了许多备份程序使用的影子拷贝。
在二月夏洛特,北卡罗来纳州律师事务所出面,并介绍了他们的整个文件服务器是如何被Cryptolocker炒,和公司失去了所有文件。IT团队试图消毒机,但计划事与愿违,阻止解密。他们还试图支付赎金,但为时已晚,因为他们已经与恶意篡改。社会工程攻击中使用“从AT&T”一封带有恶意附件,这是误认为是从他们的电话接听服务语音邮件。
公司是备份文件每周一次的措手不及由骗局后卫,而且通常愿意支付赎金。
安全培训公司的联合创始人斯图斯尤沃曼说:“这是一个选择,要么付500美元,要么失去一周的工作——但代价可能不止一个人。KnowBe4 LLC在佛罗里达州Clearwater。
虽然骗子在律师事务所的情况下使用了假冒的AT&T地址,其他电信公司锯网络钓鱼骗局的变体,也Sjouwerman补充道。这勒索像Cyberlocker赛门铁克估计赚了超过$ 34,000单独1个月罪犯2013年底。
中小规模的企业少于500名员工占所有矛钓鱼攻击41%,相比2012年36%,根据赛门铁克。大型企业拥有超过2500名员工占所有针对性攻击39%,而在2012年和2011年的50%相比。
斯科特Greaux,副总裁说,小型和中等规模的企业遇到两个难题PhishMe.com在弗吉尼亚州Chantilly的。
“一个是人们认为我没有什么人会想。【二】,它们可能具有传统的[安全]现成的工具,但他们可能会落后于时代,即使他们使用的Web过滤”。
在这种情况发生之前——Sjouwerman说:“确保你有备份,并定期测试你的恢复功能。”同时,对所有员工进行安全意识培训。
2.IVR和robocalls查询信用卡信息
在寻找信用卡或密码信息的新型社会工程骗局中,交互式语音应答系统和“自动呼叫”扮演着核心角色。坏人偷走了数千个电话号码,然后用自动呼叫器给毫无防备的员工打电话。
“这是完全自动化的,Sjouwerman说。
“这条消息被传类似 - ‘这是你的信用卡公司,我们在你的卡上的潜在的欺诈负责检查您是否购买平板电视的$ 3,295按1选择是或2没有。?’”如果人没有回应 - 然后脚本要求受害人输入其信用卡号码,到期日和安全码。
在某些情况下,员工们担心他们公司的信用卡已经被盗用,他们可能会遇到麻烦,所以他们会配合。
“只是为了雪上加霜的是,他们要求受害人输入手机号码,以便客户服务代表可以叫你回来这件事,他们会反向充电,”他补充道。
虽然骗局似乎是针对消费者,结合robocalls和IVR的概念,对企业的影响也一样,克里斯 - 银色,所有者和首席信息安全顾问说:CG银色咨询在亚特兰大。
“最明显的情况是,欺骗语音信箱系统的内部电话,要求员工确认语音信箱密码,可能还会提示输入紧急电话号码或类似的东西。”
预防措施:专家说,不要对来电来电采取行动,也不要相信来电显示上的名字。电话诈骗的一个明显迹象是——它会显示来自“你的信用卡公司”的信息,但不会显示真实姓名。
3.医疗记录的矛钓鱼攻击
2013年发生了大规模数据泄露事件,犯罪分子已经到了可以获取个人身份信息并开始合并记录(包括医疗记录)的地步。
举例来说,一个虚假的电子邮件看起来像是从你的雇主到来和医疗服务提供者宣布,他们已经做出了一些改变您的医疗保健计划。他们提供最佳的保险费率,为客户与你的孩子的数量。然后,他们邀请电子邮件阅读器,以检查出的链接,看起来像它进入健康保险公司的网页。
“因为电子邮件载有读者的个人信息,有一个点击的可能性很大 - 这一切都需要”渗透到公司系统,Sjouwerman说。
4.网络钓鱼的葬礼
也许一个新的低社会工程团伙已经被抓获,他们向人们发送电子邮件,看起来像是来自一家殡仪馆,告诉读者你的一个亲密朋友去世了,葬礼就在这一天举行。他们已经渗透并破坏了殡仪馆的网站,所以当相关的朋友点击了被破坏的网站,他们就会被重定向到一个坏人的服务器上。
哈德纳吉证实,这种社会工程骗局是可悲的,但却是真实的。有一些关于这种方法成功应用的故事。人们点击并加载利用工具包或骗子收获凭证。”
在虚假网站,坏人迅速下降了一个恶意软件,随着时间推移拉下键盘记录和其他信息的一大堆。它还会删除木马,和电脑刚刚成为能够进行恶意行为,如攻击其他计算机和发送垃圾邮件的僵尸。
底线——格罗说,在你对情绪做出反应之前先思考一下。
“通常,(骗子的)动机是恐惧、贪婪或好奇。如果你发出10封电子邮件(或电话),很有可能10个收件人中就有1个会被他们试图利用的情绪所激励。”
这个故事,“的最新四(和最低)社会工程诈骗”最初发表CSO 。