跳到主要内容

以下是黑客窃取您的数据的方式

(图片来源:凯姆·温特斯)

虽然攻击者一直在开发更复杂的病毒和恶意软件,而且越来越常被遗忘,但对企业来说,最大的安全威胁实际上并不是来自软件,而是来自人类本身。

公司可以利用防火墙,VPN和安全网关等解决方案构建世界上最安全的基础架构,以保护其数据免受外部威胁,但这不会降低组织内部的恶意或其他威胁风险。这种低技术的黑客攻击方式近年来越来越受欢迎,知名品牌成为诈骗者联系的受害者,他们在进行一些LinkedIn调查后联系初级财务管理人员申请资金。

此外,由于互联网形成了大多数人的日常工作,许多员工在工作场所登录个人账户,因此请务必记住,在线安全方面,个人信息和业务信息之间也存在交叉。如果黑客获取您的个人详细信息,他们也可以访问您的专业人员。

那么,黑客可以通过这四种方式绕过您的安全并窃取您的数据。

01.社会工程

任何以人为主导的网络安全威胁的起源都是社会工程;操纵个人机密数据的行为。当然,黑客可以通过恶意软件感染网络并进入后门,或者更好的是,他们可以欺骗员工发出密码并在前面漫步,而不会引起任何警钟。一旦黑客拥有个人密码,您几乎无法阻止他们,因为他们的活动似乎是经过授权的。

多年来,社交工程技术必须变得更加复杂,因为普通用户已经变得比黑客使用的传统方法更精明。因此,黑客现在必须更聪明地获取数据。从商业角度来说,像欺骗用户点击恶意链接这样简单的事情可以让攻击者访问整个网络。人们知道忽略来自恳求迫切需要银行详细信息的陌生人的电子邮件,但当该电子邮件来自您认识的人时,您不太可能点击“标记为垃圾邮件”。

黑客可以轻松滚动潜在目标的Facebook帐户,以查找受害者朋友的姓名。然后,他们可以向受害者发送假装成该朋友的电子邮件,如果他们认为受害者来自他们认识的人,受害者将更有可能堕落。

小费:关于社交媒体的话题,请注意您提供的个人详细信息。什么似乎是一个无害的游戏,其中'你的说唱名称是你的第一个宠物的名称加上你的母亲的婚前姓名',实际上可能是一个网络钓鱼骗局,用于找出常见帐户恢复问题的答案。

Illustration: Kym Winters

插图:Kym Winters

02.低技术内部威胁

大多数内部网络安全威胁实际上来自当前或前雇员,而不是一个不露面的敌人。这些员工可能会未经授权访问机密数据,或者使用恶意内容感染网络。这些内部威胁可以采取多种形式:

  • 肩膀冲浪
    “肩膀冲浪”是一个人观察某人输入密码的简单行为。这种情况有先例。不满或即将离职的员工可以随便站在桌子后面,观察其他员工输入密码。这种简单的行为可能导致未经授权的访问,这对企业来说可能是灾难性的。
  • 便利贴上的密码
    内存威胁甚至比记住在肩膀上观察到的密码更容易,也可能来自员工写下密码并将其粘贴到计算机显示器上 - 是的,实际上就是这种情况。显然,这使得某人获取登录详细信息非常容易,然后可以用来欺骗或感染公司。好消息是这种粗心很容易纠正。
  • 拇指驱动器插入计算机
    员工机器可能会被加载到简单USB驱动器上的键盘记录软件感染。攻击者只需要将USB驱动器偷偷带入计算机背面,他们就可以访问用户的个人详细信息和密码。

小费:为了避免这些内部威胁,企业应该教育员工安全课程和沟通,了解对密码保持警惕的重要性。密码管理器软件就像KeePass的要么Dashlane可以安全地存储密码,因此您不必记住所有密码。或者,您也可以锁定工作站的USB端口,以防止通过USB访问未经授权的设备。但是,这种方法需要仔细考虑,因为它会使每个工作站的灵活性降低,并增加IT部门的工作量,因为每个新的USB设备在使用之前都需要获得批准。

03.拜亭

与社会工程类似,诱饵方法欺骗用户使用获得的关于该人的信息。例如,黑客可以检查社交媒体网站并了解目标对权力的游戏感兴趣。这些知识给了攻击者一些诱饵。攻击者可以向目标发送一封电子邮件,说“点击此处观看最新的权力游戏情节”,而不是通用电子邮件。用户更有可能点击按钮,当然,该按钮实际上是恶意软件链接,而不是最新一集的权力游戏。

同样,由于在LinkedIn上公开列出了如此多的信息,攻击者也可以轻松地研究报告结构,针对假装成为首席执行官并要求将资金转移到特定账户的初级人员。尽管看起来很牵强,但众所周知的事件正在发生。窃听是一种类似的方法,攻击者可以在咖啡店,公共交通工具甚至作为办公环境中的供应商那里收听商业对话。

04.取消订阅按钮

攻击者欺骗用户从电子邮件中下载恶意软件的另一种方式是通过取消订阅按钮。根据法律规定,每封营销电子邮件都必须包含取消订阅链接,以便消费者可以选择不接收通信。攻击者可以向用户发送重复的电子邮件,这些电子邮件看起来像服装公司(或类似)的特殊营销要约。电子邮件看起来无害,但如果用户对公司不感兴趣,或认为电子邮件太频繁,他们可以按取消订阅按钮停止接收电子邮件。除了这个黑客的钓鱼邮件,点击取消订阅按钮实际上下载了恶意软件。

小费:正确配置的反垃圾邮件过滤器应该停止这些电子邮件,但同样,最好保持警惕。

关键的一点是要保持警惕并及时了解黑客可能用来窃取您数据的一系列方法。教育您的员工,使他们了解本文中列出的可用于获取内容的技术,例如他们的登录详细信息或个人数据。鼓励员工质疑任何他们不认识的人,并了解任何听取对话或肩上冲浪的人。

然而,抛开所有这些,值得记住的是,互联网仍然是一个绝对积极和创造性的地方,而且世界对它来说更加丰富。为了保持警惕,我们都可以继续享受它的好处。

本文最初发表于303期,这是全球最畅销的网页设计师和开发者杂志。买问题303要么订阅这里

立即获取Generate New York的门票

业界最好的网页设计活动 生成纽约 回来了。 2018年4月25日至27日期间,标题演讲者包括SuperFriendly的Dan Mall,网络动画顾问Val Head,全栈JavaScript开发人员Wes Bos等。

还有一整天的研讨会和宝贵的交流机会 - 千万不要错过。 立即获取您的Generate门票

相关文章:



翻译字数超限