尽管供应商编写的,这一块做出了贡献不会促进产品或服务,并已编辑,由网络世界编辑批准。有个足球雷竞技app
而技术诀窍肯定起着使攻击者破解任何给定系统,单位或者个人了很大的作用,什么常常忽略的是,该行业的一些技巧,如社会工程,也是心理的游戏。这意味着,保护和防御这些类型的攻击是反过来,部分精神为好。
IT专业人士懂得在社会工程师利用人类的情感,以实施攻击的方式是很重要的。Let’s examine the four human emotions and behaviors hackers most commonly exploit as part of a social engineering campaign, the distinct campaign characteristics for each manipulated emotion, and some key considerations for better positioning your employees and your organization against falling prey to these types of attacks in the future.
* 恐惧。定义为由相信某人或某事很危险,容易造成疼痛或威胁不愉快的情绪。
作为我们最强大的动力之一,怕是可以说是最常见的操作情绪,当涉及到社会工程活动。无论是在一个假冒的电子邮件的形式,你的网上银行账户已经被入侵,并需要更改密码,或紧急银行的安全公告,这些诈骗杠杆收件人的目标用户或组,他们迅速采取行动,其势力特定威胁为了避免或纠正危险或痛苦的情况。
举个例子,最近网络犯罪分子趁着税赛季通过收集来自IRS窃取的信息打电话,威胁美国居民申报税款。在手机上获取受害者的保持后,攻击者会立即变得有攻击性,威胁民警立即行动,如果钱不连接到一个假帐户国税局整顿税收不规则。
*服从。定义为命令,要求或法律或提交到其他的权威规定。
社会工程学的诈骗行为,顺服的猎物往往伪装成电子邮件,即时消息,甚至在一个人的公司的电话或语音邮件从一个人或上级机关,如执法部门或行政组。因为我们从小信任当局的教导,我们不习惯于质疑其对应的有效性,往往会遵守他们的指示,要求和指导。
但是,当涉及到的网络钓鱼活动的,天生的权威信任可以有一些严重的后果。只要问玩具制造商美泰公司巨头,其中近咳出$ 3百万到谁把自己伪装成该公司的首席执行官在一封电子邮件到财务主管的指令,批准支付在中国的供应商网络罪犯。虽然这个特定的骗局已经为美泰一个圆满的结局,因为中国当局能够帮助恢复资金,这是一个沉痛的教训权威和服从的权力了解到,当谈到网络钓鱼攻击。
*贪婪。定义为强烈和私欲的东西,尤其是财富或权力。
在贪婪的剥削活动的情况下,这些设施定期提供的奖励 - 通常是货币 - 用于执行特定的操作。一个典型的例子就是通常被称为“419尼日利亚骗局”,它从网络犯罪分子自称是通过电话或电子邮件谁承诺的一个小小的动作,一个英俊的奖励或甚至一个小数目尼日利亚官员或机构获得它的名字钱 - 只要目标最终分享他们的银行账户信息,以便领取奖励。
在2013年,一个来自澳大利亚的尼日利亚骗局的受害者在AUSCERT会议上讲这番话的,并透露她用四年的课程$ 300,000被骗去。俗话说,金钱是万恶的根源 - 在网络钓鱼活动的情况下,让贪婪超过一个的更好的判断可以证明这是真的达到最大的程度。
*乐于助人。定义为愿意帮助其他人。
并非所有的网络犯罪分子利用阴性的人的倾向,以开展社会工程活动。事实上,常被利用的第四行为是愿意提供帮助其他人或群体。这些活动经常针对的客户支持或客户服务部门,攻击者投注伸出援助之手,并保持人民幸福会鼓励他们泄露或接受更多信息,比他们应该这些员工的倾向。
就拿最近的Amazon.com的客户服务借壳近日对媒体公开,例如。In this case, a hacker accessed a shopper’s Amazon account, and with just a name, email and an incorrect mailing address, was able to verify the account via online chat with customer support and, through a series of calculated questions, obtain his target’s correct personal information. The hacker ultimately gained access to the shopper’s credit card information and made a purchase via his Amazon account. The customer support reps were simply doing their job, but the hacker in question knew just how to use their helpfulness against them.
在企业环境中,与安全性的许多方面,抵御社会工程的很大一部分归结为环境政策和教育员工。内部威胁,可以说是最常见的和组织的防御危险的威胁,与负责数据泄露的43%,最近的研究揭示内部的演员 - 其中一半是偶然的,非恶意的。
这不是唯一重要的IT和安全领导了解黑客的不断变化战术,但他们也不断地调整政策,并教育他们的同事,并把他们培养成为对恶意活动保持警惕分享他们的知识。例如,员工需要学习,当他们收到,比方说,一个可疑的电子邮件或即时消息,并考虑对攻击车辆引发的情感,以及如何可以帮助表明犯规发挥退一步。虽然它可能是显而易见的,你作为一个IT专业人士认为这将产生一个紧急的情绪或行为反应意外的电子邮件 - 如恐惧,顺从,贪婪或乐于助人 - 是一个自动红旗,平均每位员工可能没有。
普通员工意识计划可能令人望而生畏,但也有资源,以帮助指导您完成从SANS研究所的喜好和其他领先企业员工社会工程培训。
提醒你的员工,他们可以把所有可疑的电子邮件和通信IT部门可以走很长的路向它开始肆虐之前停止一个骗局。无论您组织的规模,确保你在确保您的同事做你的部分是针对社会工程防御的有效行 - 最重要的,不要忘了这一切的心理。
或许建议的最有用的部分是停下来考虑一个头脑清醒的请求或信件,并询问是否可能在继续之前,穷凶极恶的方式使用。
BetterCloud提供关键的见解,自动化管理,以及智能数据防盗云办公平台,并通过IT团队在代表全球32万个用户超过50,000组织的信任。