“我们正在与数千年的进化作斗争,”凯文·爱泼斯坦说校对点.“对事物有所好奇是很自然的。不幸的是,通过电子邮件诈骗,最好在点击之前思考。”
我们的另一个原因 - 即集体“我们” - 继续点击恶意链接或下载虚假的附件,尽管不被告知不是:黑客在假装成为他们不是的人,使用社会工程来滑行通过伪装成别人的保护。
这是工作。希捷的一名员工最近成为了电子邮件钓鱼诈骗的受害者导致前任和现任员工的w -2离职,W-2,包括社会安全号码和其他个人信息的薪水。Snapchat的员工也只是派遣工资信息落入坏人之手
“犯罪分子变得越来越复杂了,”塞思·哈曼(Seth Hamman)说斯德维尔大学.“那些让头条新闻的人现在可能不是具有错误的语法或婴儿试图欺骗人的电子邮件。”
为什么它的工作原理
你可能会认为,到2016年,我们会足够聪明,知道不要从陌生人那里下载任何东西,不要点击来自未知来源的链接。总的来说,我们是这样的。但是黑客们正在使用社会工程来实现他们的真实意图——甚至是那些电子邮件的来源。
在它的“人为因素2016的报告中,Proofpoint发现,去年黑客更有可能使用电子邮件诈骗来攻击我们,而基于附件的活动中使用的99.7%的文档都是依靠社交工程和宏来运行的。他们还发现,诈骗信息中98%的url链接到托管的恶意软件。在这两种情况下,犯罪分子都是依靠用户自己将黑客软件植入电脑。
[有关的:虚假网络钓鱼向首席信息官展示了黑客是如何展开的]
爱泼斯坦说:“攻击者正在利用我们的DNA。”“好奇害死猫。好奇心也会给你带来恶意软件。”
黑客也知道什么时候去杀人。Proofpoint发现,电子邮件在上午9点到10点收到,周二是邮件递送量最大的日子。这些窗口选择,因为这是一个时间当接收者的电子邮件可能警惕:不是周一周二你回来工作,但在你周末,但每次当你可能还没有你的咖啡和急于你的第一次会议。
另外,附件往往是他们说的那样。“附件会声称是一个视频文件或Word文档,你打开它,它会播放视频或你会看到一个Word文档。但它也在幕后做其他事情,”爱泼斯坦说。
社会工程的专业知识
该调查还发现,社会工程在高度有针对性的攻击中,对主要业务参与者的攻击普遍存在较高的UPS。最常见的是,最终结果是将资金转移到欺诈性银行账户。
这听起来可能难以置信。谁会给陌生人寄钱?但黑客看起来不像陌生人。有一种骗局,爱泼斯坦称之为“低级骗局”,涉及潜在受害者和攻击者之间的10-15封电子邮件。
“这不是攻击者以‘嘿,我是你们的CEO,请转账’开头。他们以一句“约翰,我是莎莉”开场。我对最近的一张发票有一些疑问,’然后约翰回答说‘莎莉’,然后是一些其他的事情,在谈话过程中,我们谈到了调任的问题。”
这种攻击的更复杂版本是约翰将收到基于附件的电子邮件,附件会修改约翰的电子邮件设置,以便下次约翰从首席执行官萨利获取消息,但它不会回到莎莉然后攻击者将把它转发给莎莉。
他说:“在某个时候,攻击者会在CEO的电子邮件中添加一到两段。”“这些不是简单的、容易检测的东西。这些电子邮件是用母语写的,采用了高管的电子邮件地址的语气,看起来完全一样,修改得非常轻微,或者使用了你看不到的隐藏设置。”
[有关的:关于网络钓鱼的安全教育可以为公司节省数百万美元]
爱泼斯坦补充说,这是一个古老骗局的高科技版本。他说:“2014年是弄清楚如何绕过警报系统潜入的一年。”“2015年是你胳膊下夹着一个包裹出现,然后敲前门的一年。”
你的信息就在外面
社会工程是制作这些类型的骗局可能的,并且哈曼说,没有令人惊讶的是,给出了公司的大部分信息。“我们的许多个人识别信息都在那里,”他说。而且他不只是把它谈论你在推特上发布的东西。在过去的三年里,他得到了警觉,他是数据违约的受害者四次。
“我的信息 - 谁知道它是在哪里,如果我的信息在错误的手中最终,他们知道我的生日,社会安全号码,可能会或可能不知道我的信用卡号码,”他说。当有人被知道这一信息的罪犯瞄准时,目标更有可能认为这个人是他们所说的人。“这些是一种复杂的攻击,因为袭击者已经完成了他们的作业,”他说。
去年,弗兰克Abagnale,谁是现实生活的人背后如果可以就来抓我(他为FBI工作了40多年),说过他还说:“由于科技的发展,50年前我还是个十几岁的男孩所做的事情在今天要容易4000倍。”它一直是,也将永远是。”
他还没有被证明是错的。
这篇文章,“人(仍然)是最大的安全风险”最初是由CIO. .