写在前面:好的用户网络安全意识培训应该是内容全面,容易被用户接受。本篇文档结合厂商自己的经验,以十二种技术场景为例,覆盖最终用户应该了解的网络安全风险,娓娓道来,有趣而不枯燥,每次四篇,共三次。这次的四篇有很大的雷同性,虽然说法不一,但技术上都差不多。
本博客解释了最终用户意识培训包含的内容,它对组织的意义,并介绍了十二个重要主题,以备您给员工培训时候使用。
为什么用户安全意识培训很重要?
一次成功的攻击,例如错误地点击一次超链接,可以带来数百万美元的损失,您的组织也会成为网络罪犯多次攻击的重复目标。即使有网络保险,一个机构付出的代价,可能是数百万美元的合规罚款,以及品牌信心、收入、股东价值等方面的损失。
什么是最终用户意识培训?
网络安全意识从个人开始,每个员工都有责任保护他们组织的信息和资产。
如何建立最好的用户意识培训计划
最好的网络意识培训项目都是交钥匙式的,直观管理界面包括活动建设、监控学生进度和报告结果,以及学生门户界面、学习模块、强化短视频和补习练习。
建立具备网络知识的员工队伍指南
Fortinet编写了建立网络意识员工队伍的指南,构建最终用户意识培训计划,称为设定目标和规划您的安全意识和培训程序。本指南描述了以下六个步骤:
-
设计和开发
-
实施和开展
-
监控和管理
-
重建和加强
-
检查和提高
-
访问和定义
-
评估您的组织风险,以便您有一个网络安全风险基线作为衡量标准 -
得到领导团队的全力支持。
总而言之,最终用户意识培训项目必须是全面的、最新的、设计良好的、由高管支持的、有参与性的,这样你的员工才能学习并更好地武装自己和组织抵御网络犯罪。
最终用户安全意识培训应涵盖的12个关注领域
在任何有效的用户意识培训课程中,都必须很好地涵盖许多值得关注的领域。您的员工需要学习如何管理以下领域的威胁:
-
网络钓鱼
-
勒索软件
-
社会工程
-
社交媒体的使用
-
使用互联网和电子邮件
-
移动设备安全
-
可移动介质和设备
-
密码和身份验证
-
物理安全
-
随处办公(Work from Anywhere,WFA)
-
公共无线网络
-
云安全
https://www.fortinet.com/blog/business-and-technology/12-areas-to-cover-in-cybersecurity-user-awareness-training
网络钓鱼
-
个人从他或她的银行(例如,大通银行)收到一封电子邮件。
-
这封邮件似乎是从大通银行发出的,邮件中嵌有大通银行的标志。
-
这封邮件说明个人账户存在紧急问题,并指示她立即点击一个链接来处理此事。
-
一旦个人点击链接,她就会被带到一个模仿大通银行的网页。
-
在不知情的情况下,该用户输入了自己的用户名和密码进入网站。
在企业层面,网络钓鱼可能产生更大的后果。只要允许一个骗子进入公司网络,就可能发生数据泄露,使组织容易遭受损失和盗窃。虽然电子邮件仍然是企业最重要的通信工具,但不幸的是,它也使其成为最大的威胁载体,攻击的数量和复杂性都在不断增加。网络钓鱼活动的严重性和成本持续存在,组织必须了解这种网络钓鱼,以对抗电子邮件安全问题。
随着网络攻击者的技术变得更加复杂和富有创造性,网络钓鱼的尝试可以是多种多样的。这些攻击的共同目的是:身份偷取或传输恶意软件。下面是对不同类型的信息攻击的回顾。
一般的电子邮件攻击使用类似垃圾邮件的策略一次轰炸数千个邮件,而鱼叉式网络钓鱼攻击则针对组织中的特定个人。在这种类型的骗局中,黑客根据目标的姓名、头衔、工作电话号码和其他信息定制电子邮件,以欺骗收件人,使其相信发件人私下或在工作上认识他们。鱼叉式网络钓鱼是针对有资源的组织研究和实施这种更复杂的攻击形式。
捕鲸是鱼叉式网络钓鱼的一种变体,目标是首席执行官和其他高管(“鲸鱼”)。由于这些人通常可以不受限制地访问公司敏感数据,因此风险回报要高得多。捕鲸主要由高级犯罪组织实施,他们有资源进行这种形式的攻击。
商务邮件入侵攻击的目的是冒充高级管理人员,欺骗员工、客户或供应商将商品或服务的付款电汇到另一个银行账户。根据联邦调查局2019年互联网犯罪报告,商务邮件入侵骗局是2019年最具破坏性和最有效的网络犯罪类型。
在这种类型的攻击中,骗子创建一个几乎完全相同的真实电子邮件的副本,例如一个人可能从银行收到的警报,以欺骗受害者分享有价值的信息。攻击者将原始邮件中看似真实的链接或附件替换为恶意链接或附件。这些电子邮件的发送地址通常与原始发件人的地址相似,因此很难被发现。
也被称为语音网络钓鱼,在欺诈中,骗子欺骗性地在受害者的来电显示上显示知名的、可信的组织的真实电话号码,如银行或国税局,以诱使收件人接听电话。然后,骗子冒充高管或官员,使用社会工程或恐吓策略,要求支付据称欠该组织的钱。Vishing还包括发送语音邮件,要求受害者回拨一个号码;当受害者这样做时,受害者被骗输入他或她的个人信息或帐户详细信息。
在雪鞋计划中,攻击者试图绕过传统的电子邮件垃圾邮件过滤器。他们通过多个域和IP地址发送消息,发送的消息数量如此之少,以至于基于声誉或基于数量的垃圾邮件过滤技术无法立即识别和屏蔽恶意消息。有些信息在过滤器学会屏蔽之前就进入了电子邮件收件箱。
虽然这听起来很极端,但用户仔细检查电子邮件以确定其真实性是很重要的。用户不应该完全信任他们组织的垃圾邮件过滤器,因为这些传统的电子邮件安全工具不能对某些类型的攻击提供最强大的防御。一些组织已经开始实现零信任网络访问(ZTNA),以确保与私有应用程序的连接安全,从而减少对internet上应用程序的暴露。
防止网络钓鱼的最好方法之一就是简单地检查和验证电子邮件的“发件人”地址。每次收到突然来自银行、支付服务机构、零售商甚至政府的邮件时,都应该这样做,尤其是过去通常没有收到的工作邮件。
-
这封邮件看起来紧急吗?
-
这封邮件是否给你提供一些简单地“好得令人难以置信”的东西?
-
你在与你联系的那家公司有账户吗?
如果任何事情看起来奇怪,就不要再做任何事情。
通常语法、拼写甚至格式都可能是危险信号。来自银行、信用卡公司、支付服务机构或美国国税局的正式电子邮件通信不包含拼写错误,总是使用正确的商务英语。如果你习惯了这类邮件的用词和语气,而这封邮件看起来不一样,那么它很可能是一次网络钓鱼。
除了语法和拼写之外,还要寻找与你的名字和称呼有关的其他元素。合法的公司,尤其是那些与你有往来的公司,不会笼统地称呼你。一个通用的问候语(例如“亲爱的女士”)可能是一个骗局的迹象。
在查看邮件时,检查是否有任何特殊的、奇怪的请求。大多数欺诈邮件要求收件人回复邮件或点击邮件中的链接。任何特别或不必要的紧急事件都极有可能是网络钓鱼事件。
骗子的目标是让受害者点击链接或下载附件。这样做会导致恶意软件自动下载,感染受害者的电脑。为了确定一个链接的有效性,用户应该将鼠标移到它上面。如果通常出现在屏幕左下角的链接显示了一个不熟悉的域名的长URL,则不应单击该链接。同样,一个附件,即使是一个看起来无害的名字,如“月报”和熟悉的文件扩展名,如PDF,也可能是恶意软件,不应该双击或下载。
如何保护自己免受网络钓鱼
以下是您的组织保护其员工和网络免受网络钓鱼攻击的一些方法。虽然训练有素的员工是组织的最佳防御,但组织仍然可以采取一些预防性措施。
这可能是一个组织可以采取的最基本的防御措施。大多数电子邮件程序(如Outlook、G Suite)都包含垃圾邮件过滤器,可以自动检测已知的垃圾邮件发送者。
组织应该确保所有的安全补丁都已更新。这可以检测和删除 通过钓鱼意外进入员工PC的恶意软件或病毒。此外,应该更新安全策略,以包括密码过期和复杂性。
多因素身份验证需要多个信息片段,以便某人能够登录并获得访问权限。在骗子已经窃取了一些员工凭证的情况下,这一点很重要。有了MFA,特别是如果它包含生物识别认证,骗子就被挡在了门外。
所有数据都应该加密和备份,这在发生入侵或泄露的情况下是至关重要。
如前一节所述,教育员工如何发现有问题的链接和附件,并指导他们避免点击或下载来自他们不信任的来源的内容。
如果员工无意中点击了恶意链接,可以使用网络过滤器阻止对恶意网站的访问
厂商如何提供帮助?
以企业和商业网络为目标的网络钓鱼可能具有特别大的破坏性。只要有少数不知情的员工,骗子就可以获得大量的企业数据,包括客户银行和信用卡信息。潜在的威胁非常高,组织必须使用一系列安全策略来保护自己。
沙盒安全解决方案为用户提供了一个恶意软件沙盒。这个系统将特定应用程序的操作限制在隔离环境中。例如,一个感染了恶意软件的Word文档,一旦打开,就会感染你的电脑,甚至会传播到网络的其他部分。然而,在恶意软件沙盒中,恶意软件被限制在环境中,与计算机的其他部分隔离开来。
安全web网关提供灵活的部署选项,在不损害终端用户体验的情况下,保护用户免受基于互联网的威胁。
持续的员工教育是抵御这些攻击的最重要的防御手段之一。这不仅包括工具(过滤器,认证)的培训,还包括意识(识别恶意链接和知道如何报告网络钓鱼)的培训。
为了提高安全性,企业应该考虑使用安全邮件网关解决方案。使用一个全面的、多层次的方法来处理所有入站和出站邮件流量。
勒索软件
虽然这种勒索软件的含义强调了攻击的威力,而且这种攻击的频率也在增加。事实上,2019年检测到的主要勒索软件网络攻击数量飙升了820%,预计到2021年,全球组织将损失200亿美元。
尽管从那时起,勒索软件的风险已经有了很大的发展,但它的主要任务仍然没有改变:从毫无戒心的用户那里敲诈或诈骗钱财。它从软盘发展到通过电子邮件、声音和视频下载,甚至隐藏在图像内部,在互联网上传播。近年来,它一直是虚拟货币挖矿者的工具,他们需要计算能力来生成加密货币。由于挖掘数字资产需要大量昂贵的电力,勒索软件已被开发出来,以迫使用户的计算机挖掘加密货币,为数百或数千英里外的操作者提供利益。
勒索软件是如何工作的?不管勒索软件的定义是什么,一旦它进入你的电脑,它就会秘密地感染它。然后,该软件继续攻击文件,在用户无法察觉的情况下访问和修改凭证。结果,计算机基础设施实际上被控制恶意软件的人劫持了。
通过leakware和doxware(泄露软件),攻击者威胁称,如果受害者不支付赎金,就会公布他们硬盘上的敏感信息。拥有专利和敏感技术原理图等专有信息的公司可能会发现自己是泄漏软件最喜欢的目标。
请记住,一些攻击者伪装成美国执法人员或政府官员。他们可能会说,他们关闭了受害者的电脑,因为在上面发现了色情或盗版软件。然后,他们要求受害者支付一笔“罚款”,然后才放过他们的电脑。
社会工程在勒索软件攻击中也扮演了重要角色。这是指人们试图操纵他人泄露个人或机密信息。一个常见的社会工程策略是使用电子邮件或文本恐吓目标,让其分享敏感信息,打开恶意文件,或点击恶意链接。
Malspam是“恶意邮件”的缩写,它是将恶意软件发送到目标邮箱的电子邮件。邮件中的附件或url(网址)可能包含或链接到恶意软件,或者里面可能有钓鱼信息。
恶意广告涉及传播感染了恶意软件的图形或文字广告。它们往往无法与普通广告区分开来,而且可能出现在普通的、无害的广告旁边。
虽然攻击在台式电脑和笔记本电脑上最常见,但任何带有操作系统的设备都可能成为受害者。这包括手机、平板电脑和其他移动设备。为了确保所有设备的安全,可能需要一个全面的端点检测和响应(EDR)解决方案。通过EDR,您可以实时识别威胁,并对网络上的设备进行准备和保护,使它们不容易受到攻击。
不幸的是,网络犯罪分子发起这些既便宜又容易的攻击。这些软件解决方案价格低廉,而且在暗网上很容易获得,最近的一些勒索软件攻击使用的是廉价且容易找到的恶意软件。勒索软件有几种不同的类型,以下是一些最流行的勒索软件例子:
恐吓软件是一种恶意软件,它利用社会工程来恐吓、震惊或引起受害者焦虑。然后,这个人被操纵去购买他们不需要的软件。恐吓软件通常会告诉受害者,他们已经接触到了一种人造病毒,甚至是另一种类型的恶意软件。避免恐吓软件的最好方法是对任何声称你的电脑已经被感染的说法进行事后确定,除非它们来自知名的、可信的病毒防护服务厂商。
屏幕锁程序锁你的电脑屏幕,使它看起来无法访问。而不是你正常的屏幕,你可能会收到一条信息,在你被允许再次访问你的屏幕之前,要求付款。它可能来自一个假冒的执法机构,要求你使用在线支付服务给某人汇款。如果你已经被屏幕锁程序感染,当局建议不要支付赎金。您可以在清除系统后使用最近的备份来恢复您的计算机。
加密勒索软件使用先进的加密算法加密您设备上的数据。你会收到一条信息,上面解释了你需要支付多少钱,以及你必须采取哪些步骤才能重新访问你的文件。与屏幕锁类似,你可能不得不恢复最近的备份,以使你的计算机重新运行,而不向攻击者的要求屈服。
尽管美国司法部(DOJ)对攻击者采取行动,但政府机构仍将继续成为攻击的目标。当黑客能够关闭哪怕是一个很小的政府部门——无论是地方的还是国家的——它就会影响到一大批人的生活,这就使得支付赎金并重新启动和运行变得特别诱人。
虽然术语有时只是由少数思想领袖创造出来的,但它很快就会成为日常生活的一个元素。在网络安全领域,简明的行话让“业内人士”更容易谈论威胁和用于对抗威胁的技术。在勒索软件方面尤其如此,了解勒索软件的行话不仅能让你深入了解勒索软件罪犯的世界,还能让你更容易躲过他们的攻击。这里有一些在勒索软件战场上你应该熟悉的行话。
有效的勒索病毒检测涉及教育和技术的结合。以下是一些最有效的检测和防止勒索软件攻击的方法:
-
1. 确保员工了解勒索软件:教员工如何识别勒索软件的迹象,比如被设计成来自真实企业的电子邮件、可疑的外部链接和有问题的文件附件。
-
2. 创建蜜罐:蜜罐是一种诱饵,由伪造的文件库组成,看起来像是攻击者有吸引力的目标。当勒索软件黑客攻击你的蜜罐时,你可以检测并阻止攻击。
-
3. 监视网络和端点:通过小心的监视,您可以记录传入和传出的流量,扫描文件寻找攻击的证据(例如失败的修改),为可接受的用户活动建立基线,然后调查任何看起来不寻常的情况。
-
4. 部署防病毒和反勒索软件工具:这些工具可用于将可接受的网站列入白名单,并在检测到威胁时通知您。
-
5. 检查电子邮件的内容:您可以配置您的电子邮件设置,以自动阻止恶意邮件进入员工的收件箱,以及阻止可能构成威胁的扩展内容,如可执行文件。
-
2018年,SamSam被用来袭击科罗拉多州交通部和圣迭戈港。勒索软件使他们所有的服务都停止了。同样是在2018年,两名来自伊朗的黑客据称利用SamSam攻击了美国和加拿大的200多家组织和公司。一些受害者包括医院、公共机构和市政当局。这些攻击造成了大约3 000万美元的损失。
在遭受攻击后,您的业务运行可能会严重放缓。除了尝试重新启动操作,您还可能:
-
1. 升级你的防病毒保护系统
-
2. 培训员工如何避免未来的勒索软件攻击
-
3. 解密你的Microsoft Office文件,这是网络罪犯最喜欢的目标
-
4. 处理员工和管理层在工作效率下降时的沮丧情绪
-
在遭受勒索软件攻击后,您可以采取一些步骤来将对业务的损害降到最低。无论情况如何,当局建议不要支付赎金。支付赎金只会鼓励更多的攻击,因为其他网络犯罪分子听说了成功的攻击。
恐吓软件有时可以通过在电脑厂商的客户服务代表的指导下采取步骤来清除。由于这类勒索软件非常常见,一些公司已经训练有素的专业人员准备帮助用户卸载它们。
咨询专家也有它的缺点。聘请专业人士通常要花相当多的钱。此外,在你同意支付初始费用之前,也无法知道专家是否能成功地将勒索软件从你的电脑上清除。
-
隔离受感染的设备:很可能,只有少数设备上有勒索软件。重要的是要使这些设备脱离网络,这样它们就不能感染其他连接的设备。
-
识别攻击类型:您采取的步骤将在很大程度上取决于您所感染的勒索软件的类型。写下关于攻击及其症状的所有细节。
-
使用杀毒软件或雇佣专业人员为你做:这可以帮助防止进一步的攻击,它也可以披露和消除其他威胁。
-
恢复加密文件:是否可以恢复它们以及如何恢复,将取决于攻击的性质和解密选项。
-
删除勒索软件:将使您无法响应攻击者的要求,从而阻止您做出有害的、情绪化的决定。但是,这将不会解密被劫持的文件。
最后你可能会丢失你设备上的解密文件或所有信息,特别是当你无法进入电脑。另一方面,使用恐吓软件和屏幕锁程序柜,你可能不会受到不良影响。例如,对于一些屏幕锁,您可以在安全模式下重新启动计算机,然后使用杀毒软件移除屏幕锁。当你重新启动计算机时,它可能会恢复正常。
专家们一致认为,阻止是对抗勒索软件的最佳方式。你可以做几件事来保护你的设备。
要充分利用这一条款,你可以通过密切关注更新提醒或检查设备的设置来不断检查更新。你还可以安排自动更新——通常是在你不使用设备的时候。
为了进一步保护您的计算机免受未经授权软件的攻击,有的的工具提供了双因素身份验证(2FA)的功能,使用基于云的环境来验证网络上的连接。
下一代防火墙(NGFW)可以提供额外的保护层。支持包过滤、VPN (virtual private network)、IP映射等特性。它们还监视您的网络,密切关注威胁。NGFW供应商对安全发展情况进行持续的研究,以了解出现的新威胁,并使用这些数据以自动更新的形式阻止对您设备的攻击。
白名单软件是一种有效的防御攻击的方法。用户在使用设备之前会例行检查设备并批准软件。像防火墙这样的保护措施可以提醒你可能含有勒索软件的软件,并在连接到互联网之前征求你的许可。通过白名单程序,如果您怀疑可能存在安全漏洞,您还可以选择阻止所有传入的程序。然后,在继续使用任何程序之前,您可以集中精力找出问题的根源。当你使用防火墙时,勒索软件很容易被发现。
尽管备份不能防止攻击,但它是主动防御的一个基本元素。定期备份数据可以为您提供网络上每个设备的基线映像。在发生勒索软件攻击时,您可以清除系统并使用备份重新启动和运行。
当你的员工具备正确的知识时,可以在很大程度上防止勒索软件攻击。让他们知道攻击是什么样子的,以及如何防止暴露他们的设备。
针对勒索软件的最佳防御是一个全面的解决方案,旨在保护一系列设备免受攻击。这可以包括Web过滤,它在你的网络和恶意网站、链接、恶意软件或其他有风险的内容之间设置一道屏障。一个全面的解决方案还可以使用沙箱,这涉及到将应用程序的操作放在一个隔离环境中。在沙盒中,分析应用程序的行为,收集的数据可以揭示错误、效率低下、勒索软件和其他可疑代码。因为应用程序在沙盒中,所以设备或网络的其他元素受到保护。
社会工程
社会工程攻击通常需要多个步骤。攻击者会研究潜在受害者,收集有关他们的信息,以及如何利用他们绕过安全协议或获取信息。然后,攻击者在操纵目标泄露敏感信息或违反安全策略之前,会做一些事情来获得目标的信任。
在社会工程的这个定义中,社会工程攻击始于攻击者弄清楚他们想从一个组织或个人那里得到什么。然后,他们研究人类目标的行为或好恶,找出如何最好地利用它们。然后黑客将执行攻击,试图获得访问敏感数据或安全网络或系统的权限。
社会工程网络攻击试图利用人类行为的某些固有特征。
人们倾向于相信自己喜欢的人,而不是不喜欢的人。为了利用这一点,社会工程攻击者可能会试图表现得值得信任、有吸引力,或者像一个有相似兴趣的人。
被给予了一些东西。社会工程攻击者滥用这一倾向,提供建议、独家新闻、或个性化的提供,让目标感到有义务回报。
在某人承诺了一项行动之后,他们会觉得有义务坚持自己的决定。利用社会工程工具的攻击者可以利用这一点,先让受害者同意一些小事情,然后再要求他们做更大的事情。他们还可能在风险表现得明显之前,让他们同意采取行动。
如果一个产品得到了他们信任的人的支持,人们就更有可能认可它。攻击者可能利用社交网络利用社会证明概念,声称受害者的在线朋友已经支持了一项行动、产品或服务。
相比那些缺乏经验或专业知识的人,人们自然更倾向于相信权威。因此,攻击者可能会试图使用“根据专家”或“科学证明”等短语来说服目标同意某事。
尽管有这么多现代社会工程的例子存在,但这种做法实际上有很长的历史,可以追溯到18世纪。
虽然计算机是在几个世纪后才被发明出来的,但这种骗局当然符合普遍的社会工程定义。
被定罪的人会写一封信,声称自己是一个被错判的欧洲贵族。这些铁栏不仅使他无法获得自由,也使他无法接触到他贫穷的女儿,而女儿需要他的自由才能生存。这封信会要求收信人支付足够的钱以确保囚犯获释,同时承诺一旦囚犯见到天日,就会支付一笔可观的报酬,远远超过收信人提供的报酬。
这种骗局的社会工程工具包只需要一个电子邮件帐户和一些伪造的文件。有人假装自己是尼日利亚王子,声称有钱被锁起来了,没有帮助他们就拿不出来。如果收信人给了他们贿赂官员所需的现金,或者支付了使用这些资金所需的费用,“王子”就会与收信人分享战利品。当然,根本就没有钱,目标绑定的的任何东西都不会被返回。
诱骗性攻击试图通过承诺某些东西来吸引受害者的好奇心或贪婪感。这诱使目标安装或点击一些东西,最终将恶意软件,如域欺骗软件(pharming)或间谍软件,安装到他们的系统中。
恐吓软件用假威胁或假警报轰炸目标,希望他们保护自己的自然倾向或他们珍视的东西驱使他们采取想要的行动。其中比较常见的一种是使用逼真的横幅警告他们的电脑可能感染了病毒或其他类型的恶意软件。
在使用借口的攻击中,攻击者对受害者的身份撒谎。在获得目标的信任后,他们诱骗他们交出敏感信息。
在网络钓鱼攻击中,攻击者会制造一种紧迫感,或引起受害者的好奇心。然后,他们要么让用户点击恶意链接,要么通过表单提供私人信息。
在鱼叉式网络钓鱼攻击中,受害者是特定的目标,攻击者通常会提前进行广泛的研究。一旦攻击者知道如何操纵受害者,他们就会发起攻击,通过网络钓鱼获取信息、凭证或敏感数据。
通过水坑攻击,攻击者试图通过入侵他们信任的网站来破坏目标群体。攻击者可能会关注人们经常访问的网站,因为他们知道他们在这些页面上可能会感到安全。
在交换条件攻击中,攻击者假装向受害者提供某种东西,以换取信息或特定的行动。例如,攻击者可能假装是技术支持人员,然后说服目标输入命令或下载软件,将恶意软件安装到他们的系统中。
这种攻击,社会工程人员假设一个有吸引力的人的身份。然后,他们在网上与受害者建立关系,试图从受害者那里获取敏感信息。
尾随攻击者是指袭击者跟随有安全许可的人进入建筑物。保安要么信任前者,要么出于礼貌,为他们把门打开。
在流氓攻击中,受害者会被骗花钱从他们的系统中删除恶意软件。恶意软件并没有从系统中移除,但受害者最终还是要向攻击者付费。
通过电话对话从目标那里获取财务或个人信息。他们经常使用欺骗来隐藏自己的身份,改变了他们的来电显示。与其他社会工程策略一样,攻击者试图获得个人的信任,或利用恐惧让他们泄露有价值的信息。
网络钓鱼在疫情期间也很常见,所以用户应该时刻保持警惕。
-
以恐惧、好奇、兴奋、愤怒、悲伤或内疚为借口的情感恳求
-
要求的紧迫感
-
试图与收信人建立信任
简而言之,只要有人试图通过操纵或胁迫的方式让你提供金钱或敏感信息,你就成为了社会工程攻击的目标。
在网上交流时一定要小心,永远不要相信你无法确认身份的人。最重要的是,永远不要点击任何看起来可疑的东西,永远不要泄露敏感信息。
不要单击URL,而是在地址栏中手动键入它。在点击所有URL之前,仔细检查它们的来源,如果不能验证它们的合法性,就避免使用它们。
使用多种密码方式访问一个账户可以帮助防止社交工程师破坏系统。这可能包括生物识别技术或通过短信发送的临时密码。
你的密码应该既复杂又独特,不要重复使用其他网站或账户的密码。您可以使用安全的密码管理器来组织它们,并在需要时提供它们。
不涉及面对面交流和电话交谈的人际关系很容易被用于社交工程。小心那些只想在网上交流的人。
安全网络的使用习惯
允许别人访问你的主Wi-Fi网络会让它容易被窃听。为了防止这种情况发生,为那些到你办公室或家里拜访的人建立一个访客网络。
虚拟专用网络(VPN)为您提供了一个安全、加密的通信通道。即使有人窥探你的通信,VPN也会加密传输,使它们对攻击者毫无用处。
虽然你在办公室和周围的Wi-Fi连接很可能是安全的,就像你的移动设备一样,但重要的是不要忽视其他设备,比如你车里的信息娱乐系统。进入这些系统可以帮助社会工程人员进一步定制他们的攻击。
安全设备使用习惯
互联网安全软件可以保护你的系统不被恶意软件通过社会工程攻击植入。一些安全解决方案还可以跟踪攻击的来源,这可以报告给当局,以帮助他们调查犯罪。
你的电脑和移动设备应该始终锁好或安全地随身携带。无论你是在公共场所还是像你的工作一样的半公共环境中,这都是正确的。
软件更新有助于确保您的应用程序不受环境中最新类型攻击的影响。在攻击成功后,软件的设计团队可能会在更新中解决漏洞,因此频繁的更新可以为您提供最新的安全。
一些公司会追踪被黑客入侵的账户。如果你的账户信息在他们的列表中,采取措施通过更改密码或添加MFA来保护它。
社交媒体
最终,社交媒体平台使组织的代表和追随者能够进行包括分享信息、交换反馈和创建内容在内的互动。
也就是说,就像几乎所有的新技术一样,社交媒体也有其自身的挑战。对于那些使用社交媒体的人来说,一个缺点是它会将用户置于危险之中,因为它会打开传统网络安全下不安全的通道。
有五种与社交媒体相关的网络威胁需要注意和保护。它们包括:
显然,由于社交媒体的随意性质,它为社会工程师提供了一种自然地与潜在目标或组织接触的途径,向他们提供可以用来帮助发动攻击的信息。
网络罪犯还通过制造紧迫感或吸引他们的好奇心,对潜在受害者施加压力。“现在就行动,否则就太晚了……”是攻击者用来鼓励目标的典型例子,让他们要么点击恶意链接,要么通过表单提供私人信息。
社交媒体上推广的恶意链接会导致恶意软件。恶意软件是恶意和软件两个单词的合成词。恶意软件有许多不同类型,如病毒、木马、间谍软件和勒索软件。网络犯罪分子使用恶意软件访问设备和网络,窃取数据,控制系统,创建僵尸网络,虚拟货币挖矿,或破坏系统。
社交媒体带来的另一个风险是,当个人或团体试图冒充一个受人尊敬的公司或品牌,诱骗受害者(员工或个人)提供机密和有价值的信息,这些信息可以被社交工程师用来入侵系统和网络。品牌模仿除了会伤害被这种模仿策略所欺骗的受害者之外,还会损害被假冒组织的声誉。
当一个人从另一个人那里获取信息和图片,创建一个假身份,然后用这个假身份在社交媒体平台上伤害一个人,这被称为catfishing。钓鱼者通常使用假身份诱骗目标个人与他们联系或在网上做生意,目的是从受害者那里偷窃或羞辱他们,或两者兼有。
-
启用MFA。多因素身份验证是一种安全措施,通过要求用户提供两个或两个以上的身份验证因素来访问应用程序、帐户或VPN (virtual private network),从而保护个人和组织。这增加了额外的安全层,以对抗更复杂的网络攻击,即使凭证或身份已被第三方窃取、暴露或出售。
-
不要重复使用密码。为每个帐户使用不同的密码。这可以防止在一个账户被黑的情况下,其他账户被轻易访问。使用密码管理工具记录各种密码,并确保密码不容易被猜中。
-
定期更新跨平台的安全设置。保持对社交媒体平台安全选项的关注,确保它们总是最新的,并设置在最严格的级别。
-
减少联系以降低未知威胁。警惕你在社交媒体平台上联系的个人和实体的类型。仔细审视每一个联系,不要和那些看起来不真诚或可疑的联系在一起。
-
监控社交媒体的安全风险。关注特定社交媒体平台上的威胁新闻,并做出相应回应。如果你了解到漏洞或黑客事件,关注你的账户并解决可能导致入侵或黑客的问题。
-
了解什么是网络钓鱼攻击。要努力学习最新类型的网络钓鱼攻击,当有人通过社交媒体平台或电子邮件主动联系你时,要始终保持怀疑态度。
-
小心你的账户被骗。留意假冒品牌的行为,立即向社交媒体平台管理员报告违规行为,并通知你的关注者。
(完)
原文始发于微信公众号(安全行者老霍):用户网络安全意识培训应该涵盖的12个领域
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论