企业安全管理之揭秘黑客入侵企业员工的7种方式

正文

请到「今天看啥」查看全文

0 2

假冒身份

今天的你有没有通过朋友圈或是微博向别人分享自己的生活点滴？是的！如今的我们生活在一个到处分享自己在做什么的世界中。攻击者只需要访问一些社交网络，就可能将一个人完整的生活资料整合在一起。虽说Facebook的进入门槛可能较高，但其公开的个人资料仍然提供了大量的有用信息。

Hadnagy说： “Facebook、Twitter、LinkedIn和Instagram，这Top 4社交网络平台的帐户几乎可以透露关于你的一切信息：家人、朋友、喜欢的餐馆、音乐以及兴趣等。将所有这些资料整合在一起，你可以想象这对于攻击者而言是多么强有力的武器吗。”

他说，所有员工都容易遭受身份假冒威胁，C级管理人员以及访问个人资料的高级管理人员面临的安全风险最大。关键是要整个企业的人员始终保持安全意识，每个人都要对这种类型的活动保持高度警惕。

PassiveTotal联合创始人兼RiskIQ研究员Steve Ginty警告称：“大多数情况下，任何人都可以创建一个帐户，并假冒成其他人。”

他提出了几个值得深思的问题： 员工如何确认他们正在联系的人是谁？他们的同事有多少人与这些人有关系？这个人过去曾经被别人冒充过吗？

同样值得注意的是，如果有人过去曾经被别人冒充过，那么将来他们还是有再次被冒充的可能性。如果员工收到身份以前被冒充的人的请求，我想他／她应该花些时间进行调查后再决定是否答应其请求。

0 3

阅读你的公司网站获取信息

当然，黑客也可能在社交网络之外搜寻潜在受害者的情报。其中你的公司网站就可能会为黑客未来的入侵活动提供情报“帮助”。

Ginty解释说，“即使他们不知道攻击的途径，但是如果他们已经通过开源手段积累了大量的情报，那么他们可能会针对一家特定的公司，因为他们有更多该公司员工资料。”

Harris补充说，“许多企业会在公司官网上发布关于其领导者、董事会成员以及其他员工的信息。如果攻击者知道该公司的电子邮件模式——他们只需要一个地址就可以轻松地找出公司高管的联系信息，并将其定位到垃圾邮件中。”

他们收集到有关企业领导的个人信息越多，那么他们的攻击就越可信，越容易实现。Ginty说，“在特定会议或公开演讲活动中的人们提供了创建社会工程和网络钓鱼电子邮件的渠道，因为这些邮件对最终用户更为可信。”

商业网站是最容易获取有价值信息的地方，可以推动社会工程攻击顺利实现。Harris说，“我们需要更加巧妙高效地工作，了解正在与我们交谈的人是谁，以及我们应该如何正确地公开发布信息等。”

0 4

电话诈骗

请到「今天看啥」查看全文