威瑞森(sēn)《2017數據洩露調查報告》中(zhōng)稱,網絡釣魚攻擊是去(qù)年最常見的攻擊方式,且此類攻擊并未見緩。公司企業紛紛加緊防護工(gōng)作,教育員(yuán)工(gōng)分(fēn)辨網絡釣魚攻擊的種種指标特征。然而,攻擊者和社會工(gōng)程師也在實現更複雜(zá)精妙的突破方法,找尋企業中(zhōng)那些明顯目标之外(wài)的下(xià)手對象。
Barracuda Networks内容安全服務副總裁阿薩夫·塞登,分(fēn)享了他在攻擊者針對不同業務部門的方法,以及員(yuán)工(gōng)被網絡釣魚風險值方面的一(yī)些洞見。
1. 财務部門
财務部門是網絡釣魚攻擊最主要目标一(yī)點兒不令人意外(wài),畢竟财務部門是資(zī)金的看門人。攻擊者會冒充高管或其他雇員(yuán),要求财務進行相當緊急的轉賬。通過社會工(gōng)程和誤植域名之類的技術,攻擊者可以很容易地欺騙财務部門,讓他們以爲這些彙款要求是合法的,且必須立即響應。
誤植域名,或者說“網絡蟑螂”,類似于域名劫持,就是注冊與著名網站非常相似的域名,并模仿原始域名的頁面風格,寄希望于用戶手誤敲錯域名字母時仍會點擊進入虛假域名的一(yī)種操作(這種情況的發生(shēng)概率還真不低)。
2. 人力資(zī)源部
無論是否在報稅季,HR員(yuán)工(gōng)總要面對報稅表單網絡釣魚攻擊的威脅。每個員(yuán)工(gōng)都要有報稅單,裏面包含了大(dà)量個人信息,包括薪酬、姓名、身份證号、家庭住址等等。這些東西對攻擊者具有相當大(dà)的吸引力,他們可以用這些信息盜取公民身份,或者研究這些數據用以發起更具針對性的攻擊。
3. 法務部門
公司内部律師的職責之一(yī),就是要推動企業并購。他們手握高度機密的财務和法律文件。而且,重大(dà)并購案的信息,不僅讓律師個人成爲網絡釣魚攻擊者的目标,也讓特定案子的參與各方陷入風險之中(zhōng)。
4. 行政助理
行政助理事務繁雜(zá),從安排日程表到協助重大(dà)商(shāng)務會議進程之類的工(gōng)作都要負責。爲了推動各項工(gōng)作有序高效進展,他們往往可以接觸到高管的憑證和個人信息。于是,行政助理就成了網絡釣魚者的主要目标,以行政助理之名僞造一(yī)封郵件索要憑證,就可快速進入公司環境爲所欲爲。
5. 公關部門
公關團隊往往會拿到内部敏感或機密信息。無論是讨論即将到來的并購還是技術發布,PR團隊都會率先收到消息,以便制定宣傳計劃。因此,網絡釣魚者往往會針對PR部門下(xià)手,希望能獲得交易内幕,或者可能揭示股價變動的信息。
6. IT/工(gōng)程部門
很多企業中(zhōng),IT部門和工(gōng)程師都能訪問公司中(zhōng)最敏感的信息,包括各種憑證、證書(shū)、源代碼和敏感知(zhī)識産權。網絡釣魚者通常會針對該部門以獲取專利信息、公司内部網絡訪問權,或者将獲取的機密信息賣給競争企業。IT和工(gōng)程部門往往有權通過公司賬戶動用大(dà)量預算,且可授權電(diàn)彙轉賬。因而,他們是魚叉式網絡釣魚攻擊的主要目标。
7. CEO/CFO
CEO和CFO是極具吸引力的目标,主要因爲他們對敏感信息的訪問權限級别很高,且有能力繞過安全措施對敏感信息授予訪問權。針對高管的“釣鲸”攻擊,往往以法院傳票(piào)或客戶投訴,并要求“快速處理”某嚴重問題的形式出現。對攻擊者而言,釣鲸攻擊利潤最爲豐厚,首席級高管面臨的日常風險最大(dà)。
上一(yī)篇:Bad Rabbit勒索軟件預警 這場網絡安全保衛戰怎麽防?
下(xià)一(yī)篇:警告:未來幾年将會遭遇規模更大(dà)的網絡攻擊