网安意识
在社会组织内部,每个人都在用不同能力和技能扮演着特定的角色。在网络犯罪分子看来,角色不同,弱点也不同,其采取的网络攻击手段也不一样。
这种针对性的网络攻击的成功率有多高?这么说吧,强如互联网巨头Google 和 Facebook,也曾是这类攻击手段的受害者。
立陶宛一个名为 Evaldas的男子在2013年到2015年期间,靠给 Google 和 Facebook 直接发账单,让这两家公司累计给他汇款超过1亿美元。
不是Google 和 Facebook太好骗,而是这个人的戏做的太足了……
首先他在拉脱维亚注册了一家同名公司,冒充台湾硬件制造商广达电脑公司,接着以供货商的名义,向 Google 和 Facebook 发送他们从没采购过的账单。这些账单附有伪造的发票、合同和信件,伪造的合同上还有伪造的盖章和签名。
为了向银行证明交易的合理性,Evaldas 甚至模仿对方公司高层的口吻,撰写了几封像模像样的电子邮件。很显然,Google 和 Facebook 内部根本没人仔细核对这些账单是否与公司的采购订单相对应,他们直接把一笔笔巨款汇给了 Evaldas。
● 基于角色的网安意识培训
当网络犯罪分子针对组织中的特定角色时,鱼叉式网络钓鱼是最有效的攻击手段。这种形式的网络钓鱼通过传递高度定制的消息来操纵目标员工。
在组织中,容易受到鱼叉式网络钓鱼攻击的角色有:
高管&行政助理
“鲸钓”和 商业欺诈邮件 (BEC) 主要针对目标是组织中的高管。欺诈者还可能以行政助理为目标,使用鱼叉式网络钓鱼或其他社会工程学手段来访问 CEO 的电子邮件帐户或其他个人信息。
人力资源
人力资源位于高度机密的个人及组织信息之上。这使得该部门面临鱼叉式网络钓鱼活动的风险很大。欺诈者可能通过欺诈手段让人力资源员工透露有关高管或其他员工的信息,进而获取进一步欺诈所需的碎片情报。
财务人员
掌管组织“钱包”的部门显然是网络犯罪分子的优选目标,这也是BEC欺诈通常出现在财务人员邮箱中的原因。欺诈者可能会欺骗员工的电子邮件,要求其将薪金更改为欺诈者的银行账户。调查发现,50%的小企业都面临着这种类型的欺诈,无论是来自内部还是外部威胁。
特权用户
网络犯罪分子以特权用户为目标,因为他们拥有“企业城堡的钥匙”。特权用户被授予访问网络敏感区域的权限,因此,一旦诱骗他们交出凭据或下载恶意软件,就相当于获得了访问区域的钥匙。一份报告发现,63%的组织认为特权用户面临的内部威胁风险是最高的。
● 基于角色的模拟网络钓鱼
模拟网络钓鱼是向员工宣传网络钓鱼危害性和网络威胁的有效方法。通过针对员工中的角色定制模拟的网络钓鱼攻击行动,可以模拟网络犯罪分子在针对组织内的特定群体时使用的相同策略,从而让网络钓鱼模拟更加真实并特定于组织中的不同角色。
当然,要执行基于角色的网络钓鱼模拟测试,需要对每个角色定制不同的网络钓鱼模板。
● 为什么要定制网安意识培训?
鱼叉式网络钓鱼是以角色为中心的网络攻击手段,拥有极高的成功率,因为这种网络钓鱼的针对性太强了!根据赛门铁克的一份报告,鱼叉式网络钓鱼是 65% 的网络攻击的主要载体。通过针对特定的员工角色,网络犯罪分子可以创建有效的多步骤、复杂的网络骗局。
基于角色的培训计划和基于角色的模拟网络钓鱼提供了一个量身定制的网络安全宣教计划,可以让组织在自己的游戏中击败网络犯罪分子。向员工传授针对其角色的网络钓鱼和社会工程攻击的细节,让员工养成仔细审查电子邮件和其他网络安全防范知识。
承制科技专注于网络安全“人的因素”,可以为政企单位提供涵盖日常宣贯、宣传月、宣传周、宣传日等活动传播在内的全方位、定制化的网络安全宣传教育方案和个性化产品及服务,欢迎咨询合作。
