在最近的案例研究中突出显示,社会工程师成功地将澳大利亚全国中小型企业的业务主管作为攻击目标,他们试图用假发票欺骗他们。 该小组危害了其目标企业的电子邮件服务器,以将电子邮件发送给首席财务官(CFO)。 在交换电子邮件之后,他们成功地欺骗了CFO,将钱汇入他们的帐户。
在新西兰也观察到了这样的社会工程策略,新西兰护士组织向成千上万的恶意个人发送了成千上万的会员详细信息。 在这种情况下,电子邮件服务器不会受到威胁,黑客使用了伪造的雅虎电子邮件地址,上面写有行政长官的名字。
社会工程学的复杂程度可能会有所不同。 但是,就其本身而言,对员工的基本培训和意识不可能带来预期的安全结果。 组织还必须考虑他们自己的安全卫生在最大程度地减少成功进行社会工程攻击的影响和可能性方面的作用。 Thycotic在2017年的Black Hat Hacker调查中强调了这一点,其中32%的黑客表示访问特权帐户是他们轻松快速访问敏感数据的首选。
用户角色和访问配置文件的维护和处理不善可能会使员工对数据的访问权限超出他们的需要。 攻击者可以通过社交媒体(如LinkedIn和Facebook)创建可能拥有特权帐户的潜在目标的命中列表。 在一个组织内担任过各种不同职务的长期服务的员工和个人迅速升为最高职位。
为了解决这个问题,安全团队需要确保用户角色和访问配置文件的目录适合于员工及其现有职责,并防止不必要的访问权限累积。 这涉及用于添加,更改或撤销访问权限的请求的适当过程,以确保只有授权用户才能授予对特定信息的访问权限。 当员工更换角色时,还需要进行检查,并进行定期检查或审核。
为什么网络钓鱼继续成功
网络钓鱼的成功不仅限于社会工程学方面和组织安全卫生方面(正如Black Hat 2017上的卡拉·伯内特(Karla Burnett)所强调的那样),而且还源于心理基础。 著名心理学家Daniel Kahneman在其2011年的著作《思考,快和慢》中提出了“系统1”和“系统2”这两个术语。
这些系统与人脑的运作方式有关。 系统1可以自动,快速地运行,几乎不需要费力,也没有自愿控制的感觉。 系统2将注意力分配到需要努力的心理活动上。 系统1自动活动的示例包括:
•检测到一个物体比另一个物体更远。
•对准突然的声音来源。
•完成短语“面包和”。 。 。”
•当显示出可怕的照片时,做一张“恶心的脸”。
•检测声音中的敌对情绪。
•答案2 + 2 =吗?
•阅读大型广告牌上的文字。
•在空旷的道路上开车。
System 2活动更加多样化和专注的示例包括:
•在比赛中为初学者用枪支撑。
•在拥挤嘈杂的房间中,专注于特定人的声音。
•寻找一个白发女人。
•保持比您自然快的步行速度。
•监控您在社交场合中行为的适当性。
•计算文本a中出现字母a的次数。
•比较两台洗衣机的总价值。
•检查复杂逻辑参数的有效性。
对于许多员工而言,阅读和回复电子邮件是一项平凡的任务,通常在工作日中要做的第一件事是清除积压的工作并确定任何紧急问题。 当员工在会议之间检查电子邮件时,这种方法可以全天继续。 清除电子邮件已成为许多“系统1”活动的一部分:打开,阅读,标记为重要或删除。 然后重复。
组织应如何降低社会工程风险
组织需要一种多层方法。 结合对网络钓鱼的了解和培训,管理特权帐户和用户访问权限以及明智的密码策略,可以显着降低成功进行社会工程攻击的可能性和影响。
制定密码策略强制员工使用数字,大写和小写字母以及特殊字符会鼓励密码创建模式。 这意味着历史被盗凭证仍然可以提供有关个人当前密码构造的线索。 美国国家标准技术研究院(NIST)的新密码策略指南提供了一个很好的框架,并建议了更多的用户友好策略来帮助员工遵守。
像许多网络风险一样,社会工程需要权衡各种努力,以最大程度地减少员工的网络/安全疲劳,发现疏忽的内部威胁以及创建更易于保护的数字环境。
