在使用互联网时,你会留下一串数据,一组数字脚印。这些数据包括你的社交媒体活动、网络浏览行为、健康信息、旅行模式、位置地图、移动设备使用信息、照片、音频和视频。这些数据由不同的组织收集、整理、储存和分析,组织包括大型社交媒体公司、应用程序制造商以及数据机构。正如你猜测的那样,这样的数字足迹不仅会使你的隐私面临风险,而且也会影响网络安全。
黑客能够利用在网上收集的个人信息,找出如 "你在哪个城市遇到你的配偶?"等安全验证问题的答案或通过冒充同事或工作伙伴来施展网络钓鱼攻击。当网络钓鱼攻击成功时,他们会让攻击者进入受害者被授权使用的网络和系统。
追踪记录以更好地诱导
从2020年初开始,网络钓鱼攻击案例已经翻了一番。网络钓鱼攻击的成功取决于信息的内容在收件人眼中的真实程度。所有的网络钓鱼攻击都需要目标人群的某些信息,而这些信息可以从他们的数字足迹中获得。
黑客可以使用免费提供的开源情报收集工具来发现目标人物的数字脚印。攻击者可以挖掘目标的数字足迹(包括音频和视频),以提取信息,如联系人、关系、专业、职业、喜欢、不喜欢、兴趣、爱好、旅行和经常去的地方。
然后,他们可以利用这些信息来制作钓鱼信息,使其看起来更像是来自可信来源的合法信息。攻击者可以将这些鱼叉式网络钓鱼邮件,发送给受害者;或者以受害者的身份编写,然后以受害者的同事、朋友和家人为目标。鱼叉式网络钓鱼攻击甚至可以骗过那些受过训练能识别网络钓鱼攻击的人。
最成功的网络钓鱼攻击形式之一是商业电子邮件泄露攻击。在这些攻击中,攻击者冒充具有合法商业关系的人,如同事、供应商和客户等,向他们来启动欺诈性金融交易。
2015年针对公司Ubiquity Networks Inc.的攻击便是一个很好的例子。攻击者发送的电子邮件,看起来像是从高层管理人员那里发出的。该邮件要求员工进行电汇,结果造成了一例4670万美元的欺诈性转账案件。
进入网络钓鱼攻击受害者的电脑,可以让攻击者进入受害者的雇主和客户的网络和系统。例如,零售商Target的暖通空调供应商的一名员工成为网络钓鱼攻击的受害者。攻击者利用他的工作站进入Target的内部网络,然后又进入他们的支付网络。攻击者利用这个机会感染了塔吉特公司使用的销售系统,盗取了7000万张信用卡的数据。
问题严峻,那么如何解决这个问题呢?
计算机安全公司Trend Micro发现,91%的攻击中,攻击者获得了未被发现的网络访问权,并长期使用该访问权,这些攻击都是从网络钓鱼信息开始的。Verizon的数据泄露调查报告发现,所有数据泄露事件中有25%涉及网络钓鱼。
鉴于网络钓鱼在网络攻击中扮演的重要角色,我认为组织机构必须对其员工和成员进行关于管理其数字足迹的教育。这种培训应该包括如何确定数字足迹的遍布范围,如何安全地浏览以及如何负责任地使用社交媒体。
本文由升哲科技编译,转载请注明。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
