近兩成的企業資料外洩事件,來自內部人為疏失,而非病毒!
員工被認為是公司最大的資產,卻也是資安最脆弱的一環。雖然企業經常遭受駭客蓄意的破壞或惡意入侵,但也有許多資安事件是因為疏忽大意或缺乏安全意識所造成。在今年初,一家投資管理軟體廠商因為變臉詐騙攻擊或稱為商務電子郵件入侵(Business Email Compromise,簡稱 BEC)造成600萬美元損失而被告。
罪魁禍首?沒有遵循正確匯款流程的員工。在這種情況下,如果企業具備適當的安全措施,而且員工能夠確實遵守程序或具備看穿騙局的知識,就能夠成為防禦的關鍵。
19.8%的資料外洩事件來自內部系統 – 因為簡單的人為錯誤造成
2014年的一份問卷調查顯示有19.8%的資料外洩事件來自內部系統 – 因為簡單的人為錯誤造成。各式各樣可以有效利用員工的詐騙手法讓網路犯罪分子偏好社交工程(social engineering ),而不去用更加複雜的方法。
實際的詐騙手法可能有所不同,但底下列出最常用的技術 – 出現在許多電視和電影場景裡,可以幫助使用者更加了解自己他們所面臨的社交工程威脅:
假托技術(Pretexting)
冒充老闆
他如何進入?
竊資達人(Identity Thief):Sandy冒充前老闆說服員工給禁區密碼。
你有沒有非預期地接到來自“技術支援”人員的電話,內容是關於需要立即處理的問題?也許來電者會要求提供個人資料或帳號資訊來立即處理問題。這種社交工程的手法被稱為假托技術(Pretexting)。
大多是透過電話完成,假托技術(Pretexting)需要的是營造出說服目標給出個人或有價值資料的情境。詐騙分子會假冒成正當或熟悉的人來安撫目標,像是ISP的客服,不同分公司或辦公室的同事,或是來自公司技術支援的人。犯罪分子有時會事先收集關於目標的資料來讓騙局看起來更加可信。
問題是如何分辨騙子跟正常的來電者。一般來說,如果你收到非預期的電話,而來電者開始要求提供個人資料,你就應該檢查來電者是否正常。掛斷電話並直接打電話給公司以確認是否真有此事。
網路釣魚(Phishing)
釣魚者
Chris釣魚
黑帽駭客(Blackhat):駭客偽裝成上司來詐騙中情局探員。他們寄給他一封電子郵件,指示他變更密碼和下載PDF檔案,但下載的檔案其實會安裝鍵盤側錄程式。駭客設法用安裝的鍵盤側錄程式來取得他的新密碼。
儘管大眾對詐騙的安全意識加強了,但網路釣魚仍被廣泛使用且有效。在二月,Snapchat成為網路釣魚詐騙的受害者,一名員工將公司敏感的薪資資料寄給一個冒充成該公司執行長Evan Spiegel的詐騙分子。
網路釣魚詐騙者會操弄他們的目標,找出弱點來讓人洩露出有價值的資訊。他們從不同角度來引人粗心大意和魯莽行動:偽裝成公司上層,冒充公司IT部門寄發電子郵件,寄送“到期通知”,建立假網頁或要求特定服務的登入資料。
很難去區分假訊息跟真正的對話,特別是網路犯罪分子很容易就可以找到用於詐騙的資料。公司資料可以上網取得,包括公司標誌、合法標頭和其他文件。員工對於“緊急”通訊或不尋常的要求都要保持警覺。
為了幫助你識別和加以避免,底下是典型網路釣魚詐騙的幾個特點:
- 網路釣魚詐騙會要求詳細個人資料:姓名、帳號細節、身分證字號等。
- 他們使用重新導向惡意網站的短網址。檢查你會被重新導向的網址,有時詐騙分子會用很像正常網站的相似網址。
- 有些詐騙分子會試著營造出緊迫感來推動使用者快速和輕率行事。在網路上給出任何資訊前要先審慎評估。
下餌(Baiting)
噢!USB掉了~
USB掉了!
駭客軍團(Mr. Robot):帶有自動執行惡意軟體的USB隨身碟掉在目標辦公室的門前,引誘員工撿起使用。
下餌(Baiting)就如同字面意思,利用有吸引力的誘餌來引誘受害者,從實體誘餌如有毒的USB隨身碟,到更加常見的點擊誘騙電子郵件和線上廣告。常見的“誘餌”包括免費電影、獎品或大型比賽和音樂會的門票。跟大型活動如國際比賽、選舉和賣座表演的行程結合在一起會讓騙局特別容易成功。有越來越多的使用者在尋找優惠的交易,像是打折的機票或稀有的商品,更有可能去點入可疑的連結。
典型的策略是詐騙者會要求登入憑證或是有價值的個人資料以換取“大獎”,或將使用者重新導到惡意網站來取得它們的詳細資料或散播惡意軟體。
詐騙分子試著用各種手法來引誘你行動 – 登入來取得獎品、最後三件襯衫、點入此連結來取得門票等。如果你收到非預期的電子郵件或看到好得太不真實的社群貼文,直接上公司網站確認,看看他們是否真的有提供特別優惠。
尾隨(Tailgating)
007尾隨
龐德進入
007:金鋼鑽(Diamonds Are Forever):一個經典的尾隨場景 – 龐德分散研究員注意力,假裝有通行證的進入限制區域。
尾隨(Tailgating又稱piggybacking)是犯罪分子所使用最簡單和古老的招數之一。就如字面意思的跟著其他人,利用他們的憑證來進入限制區域。早期會出現在地鐵 – 當某人打開閘門時,他們就快速地通過而不用買票。
現在,有越來越多公司的辦公室有門禁,尾隨(Tailgating)問題也跟著增加。幫人開門是種基本禮貌,從手上拿滿東西的同事到沒有通行證的訪客。但門禁對安全來說相當重要。除了要保護實體安全,限制進入工作場所的某些區域可以防止設備或智慧產權被竊。不幸的是,員工對這規定態度鬆散,經常認為只是種安全守則,並不重要。
降低風險
社交工程攻擊的目的是攻陷人性的弱點 – 這已被證明最難修補的弱點。雖然並沒有特效藥來幫助企業對抗社交工程攻擊,但有許多方法可以減少安全風險,追查人為錯誤。除了安裝多層次安全解決方案來主動防禦針對性攻擊,企業也該注重提高員工對相關威脅的認識和教育訓練,並且制定明確的安全政策。最主要的挑戰是確保員工可以認真地遵守這些措施,而且也應該將這些作為注重安全的公司文化一部分。