常识告诉我们,用户是IT风险管理中最薄弱的一环,特别针对是一些“天真勇敢”的用户……但是黑客究竟是如何利用这种天真(缺乏保护意识)进入用户终端和公司账户的呢?他们运用的很多方法涉及到一些心理学花招,从而大多数的攻击中混进了网络钓鱼和社会工程学的参与。
这里列举了七种用户“应该”被黑的理由:
一、自动上钩
网络钓鱼因其有效性、影响大却简易的特点,自始至终都是黑客的最好伙伴,也常作为复杂攻击的起始。据 VerizonDBIR 报告显示,23%的网络钓鱼收件人会打开恶意消息,有11%的人会开打附件,而从钓鱼者撒下鱼饵到有人上钩的过程平均只花费了82秒。不去点那些莫名的链接是有多难啊!
二、相信诈骗电话
与网络钓鱼相似,有时对于攻击者来说最简单的方法就是直接开口向被害人索要其的系统和账户。 听起来可能有些不可思议,但 很多时候黑客只需要伪装一下,再打电话询问用户登录账户及密码。有时他们假装成内部员工或者业务合作伙伴打电话要求其他员工去打开一个有远程访问木马的特殊文档,从而得逞。
三、不更新系统补丁
最新Verizon DBIR报告中还展示了一个利用不同漏洞进行攻击的比例,据Verizon调查大约97%攻击是针对Top10并且存在多年的漏洞进行的。用户时常因不更新系统或者选择不安装这些常见漏洞的补丁。试问这些常期不更新的用户,请问你们还有什么理由不被黑啊?
四、用简单密码
索尼公司被黑客攻击中,黑客曝光了一个由索尼员工和IT人员使用的密码,尴尬的是其中不乏包括“12345”和“密码”(Password)在内的热门通用密码。正如OWASP在他们的简单密码介绍测试文件中所说,
“密码是一个王国的钥匙,但用户往往以使用者的名义将王国颠覆。”
五、使用未受保护的公共WiFi
315晚会上提供了很好的证据说明为何用户在使用公共WiFi时需要注意保护自己和VPN。而Cylance研究者发现29个国家的277个酒店、数据中心和会议中心的无线路由器存在严重安全漏洞。仅仅一个公共免费热点,就能够为黑客提供一个丰富的猎场,去肆无忌惮地“捕食”无辜群众。
六、在社交媒体上说太多
黑客喜欢在社交媒体中寻找猎物的原因有很多,其中一个重要的原因是为了方便调查。人们在社交网站中分享的信息通常可以让攻击者轻易猜出用户密码或者得出密码重设的问题的答案,同时也提供了足够多的资料使鱼叉型钓鱼更容易实施。模仿热门社交网站的图形或者插件也是恶意软件分布的重要渠道。例如,现在攻击者诱导用户在网站点“赞”按钮,其实这是个会导致恶意软件安装的触发器。这种被称为“点击劫持”方式让黑客在社交媒体中大行其道。
七、太依赖网络
BYOD(自带设备随地办公)是一个新兴的概念,而IT自主服务、自我指导已成为一种常态。当用户想要在他们的公司系统中自由地安装更多程序或者把数据移动到不受限制的云端时,他们就要面临更大的风险。因此,必须找到一个解决办法让用户能自由完成他们工作的同时,保障对工作或生活的数据管理与审计控制。