在科技世界里,社交媒体开始成为王者。试想一下,15年前,还没有Twitter、Facebook、Instagram或Snapchat。现在,似乎每个美国人都在使用一种或所有这些设备。社交媒体已经成为体育博彩平台推荐文化中的一个组成部分,你每时每刻都能看到有人低头看手机。了解社会工程如何成为新的金矿。
数字惊人
每天都有数百万人登录他们的社交媒体账户。事实上,每月有13亿用户登录他们最喜欢的社交网站。他们分享自己喜欢的照片,每天查看朋友的近况。在某人的社交网络上,你可以找到他们的姓名、出生日期、地点、工作地点、兴趣、爱好、技能、关系状态、电话号码、电子邮件地址和最喜欢的食物。所有这些信息都可能被社会工程师用来对付你。在鱼叉式网络钓鱼中,社会工程是利用已知的社会行为和模式,使目标更有可能采取建议的行动,比如点击链接。他们可以向你的收件箱发送精心制作的鱼叉式网络钓鱼邮件,或者他们可以尝试模仿你来欺骗你的体育博彩平台推荐人。
你为什么要关注这个问题?
社交媒体使用的数字
- 66%的Facebook成年用户不知道如何使用其隐私控制。
- 71%的消费者表示他们的购买决定受到社交媒体帖子的影响。
- 26%的社交媒体用户使用支付卡进行过应用内购买。
- 与社交媒体相关的犯罪报告在四年时间内增加了780%。
- 一个主要的社交网络上的虚假资料比埃及的人口还多。
- 社交活动占所有移动互联网活动的91%。
2010年1月,社交媒体诱饵(黑客利用某人的好友请求成功发起网络钓鱼活动)在所有网络钓鱼攻击中占8.3%的比例。到当年12月,84.5%的攻击使用了它们——惊人地增长了918%。
瞄准社交账户
在过去的几年里,企业是攻击者攻击最多的目标。但现在社交媒体如此盛行,攻击者发现攻击用户变得更容易了。
最近的一篇文章蓝图IT安全正是这个概念。他们谈论如何脸谱网,推特和上面是网络钓鱼的“金矿”。以至于上面催生了整个虚假连接请求行业。它们的用途不是发起网络钓鱼攻击,而是研究它,在被接受进入可能合法认识他们的体育博彩平台推荐人网络后发现高价值的管理目标。
Blueprint接着说,他们的第一个防御是研究开源智能(OSINT),以便从攻击者的角度看到公司的信息足迹。
目标定位变得更加个人化
正如现在所提到的那样,瞄准或刺入通常是更广泛攻击的第一阶段,其目的不仅仅是窃取凭证,而是出于各种原因(包括数据盗窃和勒索)找到进入目标组织或用户更深层次的方法。攻击者现在对潜在目标做了越来越多的功课。正如Blueprint在其最近的文章中所述,攻击者越来越清楚他们要攻击的对象。
侦察——通常,有针对性的攻击是针对组织内的特定人员,这也是基于从OSINT收集到的公司信息而进行的计算猜测。OSINT是一个奇特的术语,用来描述从公共来源收集的信息,公司发现这些信息几乎无法控制。
隐身——无论攻击者决定选择何种渠道,其目的都不是为了引起别人的注意。一封电子邮件或体育博彩平台推荐请求不能显得很不寻常,否则它可能会引发互动,从而暴露它的真实身份。如果发生这种情况,那就无异于一次机会主义的网络钓鱼攻击。
诡计-隐身的亲密盟友是技术诡计。在不使用电子邮件身份验证的组织中,这通常包括使用看似来自内部地址的欺骗电子邮件地址。
软件和意识是关键
正如Blueprint在其文章中所述,攻击者将顶级域与目标组织或用户使用的模拟云服务或门户相结合。软件-这解释了对目标组织使用的软件和服务进行侦察的价值。同样,用户很少仔细检查这些。
意识——攻击面可以通过多种方式减少,但理想情况下,这应该与改变员工的观点同时进行。一种流行的解决方案是进行某种形式的反网络钓鱼意识培训。意识培训背后的想法是为员工可能被测试网络钓鱼场景陷阱的程度设定基线,在几周或几个月后运行相同的测试时比较他们的行为。最好的方法似乎是从一个较长的训练阶段开始,在一年的时间里,每个月都进行短期的月度测试。