一个案例
在一家大型跨国公司中, A 是行政部门的一名职员,负责处理公司内部文件和行政事务。他最近参与了公司的一起法律诉讼,涉及公司的商业纠纷。这些细节成为了攻击者 X 钓鱼攻击的目标。
攻击过程
- 攻击者调查:X 通过社交媒体、网络搜索以及可能的企业泄露等途径,获取了A的个人信息,包括姓名、工作职责和最近参与的法律诉讼。
- 发现敏感信息:在深入了解 A 的个人信息后, X 发现了他最近参与的法律诉讼,并认识到这是一个潜在的攻击机会。
- 制作伪装邮件:X 决定制作一封伪装成法院或法官的电子邮件。他使用相似的域名、格式和专业术语,以增加邮件的真实性和可信度。
- 诱骗员工:伪装成法院或法官的邮件内容声称, A 在前一段时间的法律事务中有遗漏或需要补充的文件,要求他立即点击附件或链接以提供必要的信息。由于公司确实正在参与一起诉讼,而 A 也确实收到过来自法院的邮件。这些因素使他完全没有意识到其中可能存在风险。
- 恶意附件或链接:邮件中的附件或链接实际上包含恶意软件,一旦 A 点击了附件或链接,恶意软件就会感染他的计算机或系统。
- 获取访问权限:一旦恶意软件感染了 A 的计算机或系统, X 获得了对公司系统的访问权限。
- 进一步获取敏感信息:通过感染的计算机或系统, X 进一步获取了 A 的登录凭据、财务数据以及其他公司内部数据。
攻击结果
X 利用所获取的信息进行各种恶意行为,包括盗取公司的机密信息,进行金融欺诈,在公司内部网络上进行横向扩展,进一步渗透公司的敏感区域,造成严重的安全威胁。
案例分析
这是钓鱼攻击的典型过程,攻击者利用社交工程手段和伪装邮件的方式针对特定员工进行攻击。利用员工的个人信息和最近的法律经历,将邮件内容与其正在处理的事件建立了关联。
类似通过建立事件关联进行钓鱼的例子还有:
- 在财税审计期间;
- 在公司组织架构发生重组期间;
- 在公司参与重大招投标期间;
攻击者可能早已通过社交媒体对企业或员工个人进行监控,并进行了一些试探性攻击,来检验公司的警惕性和了解防御系统的漏洞,只是没有发起全面攻击。
一旦攻击者准备就绪并选择了合适的时机,就会集中实施攻击,找到突破点,一举攻破系统。
在遭受攻击的时候,员工往往处于无意识状态。因为他们已经将邮件与事件关联起来,合理化邮件的要求和指令,从而执行恶意程序或代码。
如何防范?
我们经常有一个误区,认为遭到钓鱼攻击是因为我们缺乏防范意识,因此我们希望通过培训来建立这种意识。
然而,实际情况是,攻击者会通过关联事件将他的请求合理化,来抑制我们的防范意识。缺乏防范意识和防范意识被抑制是有明显区别的,防范意识一旦被抑制,如果没有进行过专门的培训,就很难摆脱对方精心构建的“可信“陷阱。
我们需要做的是激发防范意识,而不仅仅是简单地建立防范意识!只有通过激发防范意识,我们才能更好地保护自己和组织免受钓鱼攻击的威胁。
如何激发防范意识?
首先,我们将钓鱼攻击分为两个主要部分:原因和诉求。
原因就是为什么你要提供信息给我?这些经过伪装的原因,多种多样层出不穷,它甚至可能是一个经过长期铺垫和经营一步步将你引入的陷阱。而对于行政、人力、财会等非专业人士,根本无法做到让他们时刻保持警惕。
但是不要灰心,所有的原因最终都会指向具体的诉求,这时,这些精心伪装就会逐渐脱落,露出它本来的面目。
由于技术的限制,攻击者最终只能通过几种特定的方式来实施攻击:
- 通过执行附件、打开链接或植入程序来进行攻击;
- 通过伪装地址或表单直接获取敏感信息;
- 获取权限并访问敏感数据;
- 并没有第四种方式,99%的钓鱼攻击最终都需要通过以上三种方式实现!
因此,我们可以清楚地认识到,启动防御意识,就能让我们采取相应措施。
不管原因多么合理,你只需要关注诉求。
只要这些诉求执行的操作符合攻击特征就进行上报。
其实当员工找到并且检查诉求时,他的防范意识就已经被成功激活了。大多数钓鱼攻击在这时就已经无效了。
过去,我们在进行安全培训时,通常只强调建立员工的安全意识,使他们具备辨识能力。
然而,现实中我们必须面对的是,我们的安全雷达并非一直处于工作状态。
恶意攻击者甚至可以通过各种手段使这些雷达处于抑制状态,这给组织的信息安全带来了巨大挑战。
因此,在应对钓鱼攻击时,“激活”员工的安全意识显得尤为重要。只有让员工从无意识状态转变为有意识状态,才能从根本上防止钓鱼攻击。
安全团队应该考虑从这个角度入手,通过激活员工防御意识,阻止钓鱼攻击。也许这正是我们在应对钓鱼攻击时没有作对的事情。