Frank Abagnale,20世纪最成功的骗子之一。年仅17岁便成为FBI史上最年轻的头号通缉犯,他靠卓越的演技和骗术伪装成飞行员、医生、律师、大学教师,骗取了国家400万美元的现金,要知道上个世纪的美金可比现在要值钱多了。
Frank最擅长使用的,便是社会工程学。这种攻击方法通常侧重于利用人的心理弱点、本能反应、好奇心、贪婪、信任等心理陷阱进行攻击。
如今的新闻头条充斥着大量的网络攻击事件,安全专家带领我们详细分析黑客复杂的“作案”流程,并不断嘱咐我们要提高警惕性。然而,这些高端、大气、上档次的攻击形式并非屡屡得逞,恰恰相反,社会工程学虽然技术含量低,却是骗敛钱财、窃取重要数据的高效手段。
尾随,就是其中之一。
尾随,也被称为尾行,是一种物理攻击而非网络攻击。但是,这种物理攻击可能会导致网络攻击。
尾随的一个典型例子是欺诈者伪装成面试者、快递员、保洁员等尾随进入公司大楼。
早在 2009 年,西门子的安全顾问Colin Greenless就利用尾随策略,证明了尾随是多么容易以及它的危害性有多强。Colin进入富时上市金融公司的多个楼层和数据室,并在 20 分钟内发现了一份高度敏感的并购文件。他甚至能在三楼的会议室里开店,在那里工作了几天。
简单了解尾随心理学
尾随行为主要是利用人类的行为和处境,尾随者必须在心理上处于他们希望利用的环境中,这样他就有借口成为一个“合理的存在”。
在尾随行为中,犯罪者通常会选择一个角色,使目标更愿意透露信息或执行某种行为(如开门)。具体扮演哪种角色,还需要对目标进行研究。可以肯定的是,角色必须建立在信任的概念之上。
什么先决条件有助于建立一个受信任的角色,从而让计划一步步走向成功?例如,如果犯罪者希望跟踪目标公司,他们可能会花时间观察出现在公司大楼中的访客类型。例如,是否有快递员在特定的时间来公司送货。
尾随的危害性有多强?
尾随可不是装傻充楞,只为进入公司大楼玩一圈。尾随是有高级目的且带有恶意的行为,实施这种行为是为了窃取信息和财产,甚至危及员工的生命安全。
据某专业调研机构调查,71% 的企业员工认为尾随会带来物理安全风险。
执行尾随行动的人可能是前员工,也可能是陌生人。前员工往往心怀不满,寻求报复和破坏财产,并窃取公司信息和敏感数据来达到目的。而把所有陌生人都当作客户并以礼相待时,他们就能很轻松地进入公司盗取数据。西门子的安全顾问Colin的尾随练习中,有17名员工曾向 Colin 提供了密码。
如何防范尾随
基本原理学习
学习安全知识、提升安全意识是阻止尾随事件发生的好方法。
通过向员工传递什么是尾随,它是如何发生的,以及可以造成多么严重的后果。通常来讲,安全意识计划应涵盖网络威胁的所有方面,包括数字威胁和物理威胁。因此,如何防范尾随也应该是安全意识培训的一部分。
警惕身边的一切
鼓励员工时刻保持警惕,尤其是面对看起来可疑的人。如果可以的话,制定一个标准流程,让员工将他们的怀疑对象和理由上报给安全团队。
尾随心理学讲解
有个陌生人跟着领导进入了限制区域。要不要管?拦住他?如果是重要访客那就尴尬了。不拦他?损失可能很严重!对员工进行有关尾随心理学的培训很重要,让员工知道,犯罪者在从容尾随时也在建立一个受信任的角色。礼貌固然重要,但积极的态度也许可以防止数据泄露事件发生。
结语
虽然网络技术设备为网络边界筑起了一道城墙,但社会工程学攻击在这堵城墙下凿开了一扇侧门,社工攻击防护不到位,技术防护筑起的城墙将形同虚设。
切记,不要让“人与人之间的关系”问题介入信息安全链路之中,以至于让企业全部的努力前功尽弃。
推进网络安全文化建设,对于政企单位的持续发展和长治久安具有至关重要的作用。承制科技专注于网络安全“人的因素”,可以为政企单位提供涵盖日常宣贯、宣传月、宣传周、宣传日等活动传播在内的全方位、定制化的网络安全宣传教育方案和个性化产品及服务,欢迎咨询合作。
