最近,由一群精英黑客充当的测试者对17家财富500强企业中的135名员工进行了安全意识测试,结果发现只有五位员工无论如何也不肯透露他们公司的任何信息。更令人惊讶的是,这五名员工竟然全部是女性。名企员工普遍缺乏安全意识
这是组织者继上月举办全球最负盛名的Defcon黑客大会后,实施的一次“社会工程学”(Social Engineering)安全测试活动。社会工程学,准确地说,不是一门科学,而是一门艺术和学问。它利用人的弱点,以顺从你的意愿、满足你的欲望的方式,让你上当受骗。此次测试的结果耐人寻味。组织者已向美国联邦调查局简要汇报了他们的测试结果,但是他们还拟于下周发布一份更为详细的报告。
在这个为期两天的测试活动中,测试者选择了17家大型企业,包括谷歌、沃尔玛、赛门铁克、思科、微软、百事、福特和可口可乐。测试者们坐在一个用树脂玻璃制成的电话亭中,在观众的监督下,分别给这几家著名企业的员工打电话,试图套取他们公司的信息。
结果令人大跌眼镜,测试者们竟然轻松得手,测试活动的组织者克里斯-哈德纳吉说。只有一家公司没有泄露自己的信息,但原因只是无人接听电话。“如果我们选择其中的任何一家公司进行社会工程学方面的安全测试,恐怕没有一家公司能够及格。”哈德纳吉说。
在测试中,测试者不允许索要密码或身份证号等异常敏感的信息,而只准套取那些可能会被别有用心的黑客们利用的信息,例如被测试者安装的操作系统、防病毒软件和浏览器等信息。他们还竭力说服被测试者访问未经安全认证的网页。
在测试中,人们发现了一种有趣的现象:约有一半的公司仍在使用众所周知具有严重安全漏洞的IE 6浏览器。而且,当测试者说服这些企业的员工访问一个专为本次测试活动设计的外部网站时,这些员工最后总是乖乖就范,真的按照测试者的要求行事。
这个结果表明,即使安全防御措施最严密的公司,也可能因为员工在无意中泄密而土崩瓦解。
安全培训不能一劳永逸
思科公司的高级安全顾问克里斯多弗-伯吉斯说,这些安全威胁是实际存在的。“在现实生活中,许许多多的公司都会接到像这样的假冒电话。”他说,“这已成为不法分子套取信息的一门绝活。”
有人曾打电话给思科公司,谎称他们的系统崩溃,情势危急,企图诱使员工泄露他们本不该泄露的信息,伯吉斯说。“我们就是要训练我们的员工,让他们认识到社会工程学是一门手艺,许多别有用心的人欲借此操控他人实施某种行为或泄露敏感信息。”
思科公司已将其安全培训手册公之于众,以期其他公司能从中有所收获。尽管思科是此次社会工程学测试活动中被测试的公司之一,但是组织者哈德纳吉并没有透露它以及其他任何一家公司的信息。
回顾此次测试结果,伯吉斯说这表明了我们的安全培训计划一刻也不能放松。“在安全培训方面,你不可能做到一劳永逸。”他说,“你必须经常变换花样地开展这种培训。”
许 多测试者通过假冒内部审计人员或实施常规调查的顾问而成功地套取到了他们希望得到的信息。伯吉斯认为,员工应该知道何时掐断这种假冒电话。“如果要从此次 测试活动中总结一条经验,我认为这条经验就是:最好的防御方法就是培训你的员工,在接听电话时,如果辨认不出对方的声音,请在提供有关公司的信息之前,先 确认一下谈话的对象是谁。”
女性员工的安全意识更强?
伯吉斯没有谈论为何所有拒绝测试者的员工均是女性。然而,根据组织者哈德纳吉的观点,不同的攻击方法对不同的人的作用效果是不同的。也许测试者使用的这种社会工程学方法对女性并不起作用。
尽管如此,这五位女士的表现仍然令人敬服,哈德纳吉承认,“在通话的前15秒,他们就直接回绝说‘这个好像不太适合我’,然后就毫无犹豫地地掐断了电话。”然而,令人泄气的是,他们同事的表现却没有这么好。
“显而易见,他们已在职业培训中获得了某种安全意识。”他说。这五位女性员工拒绝测试者的原因还可能在于:所有的测试者都是男性。“当有男性掺和进来时,女性本能地会变得警觉起来。”
在 这五位女性员工中,有三位是公司经理。一般来说,女性经理遭受社会工程学攻击的可能性极小,Lake Missoula公司的总裁、曾为好几家金融服务公司做社会工程学测试的安全顾问乔纳森-哈姆说。“他们对人的信任感非常低,是最具有怀疑精神的一群 人。”他说,“在针对公司高层的安全测试中,我常常会绕过女性职员,而专挑男性员工来打电话。”
腾讯科技编译
思科安全顾问Tom Gillis称网络欺诈者的攻击方式正在从大批量的电子邮件攻击转为使用Facebook和Linkedln等社交网站进行定点攻击。
Gillis 称虽然2010年网络欺诈行为首次减少,但并不能证明网络欺诈已经不再是问题。欺诈者已经发现使用Facebook等社交网络针对特定的公司或者个人发动 攻击更加有效。思科最近跟踪了通过Linkedln发起的攻击,攻击者使用虚假信息来发送恶意链接,以便在计算机上安装恶意软件。
这种攻击通常用于窃取金融信息。如果使用邮件欺诈,通常在单次攻击中会发送20亿条信息。而使用社交网络后,攻击更有针对性。例如在Facebook中,Koobface蠕虫可以发起这种攻击。
目前Websense公司的产品正在保护Facebook,据该公司首席技术官Dan Hubbard介绍说,在六分钟的演示中,大约有超过45万种恶意内容,欺诈,间谍软件,钓鱼链接被发送到Facebook中。
另外,Gillis还预测说,五年内,移动设备将会成为又一个主要的网络欺诈工具,因为它现在已经被用来访问企业信息。
当你使用谷歌、雅虎和必应等搜索引擎时,它们中哪个最有可能将你带到恶意网站上?根据安全公司Barracuda Labs最新发布的一份研究报告,答案又是谷歌!这项研究的方法非常简单。研究者设计了一个自动搜索系统,可以自动地在谷歌、雅虎搜索、必应或Twitter上输入流行的关键词进行搜索,从而找出哪个搜索引擎的结果中出现恶意网站的概率最高。该项研究的结果如下:
● 此次研究总共发现了34627个恶意网站;
● 每1000个搜索结果中就会有一个导向恶意网站;
● 每5个搜索主题中就有一个导向恶意网站。
在 6月,谷歌堪称“恶意网站之王”,其搜索结果中出现的恶意网站的数量占此次研究中全部恶意网站数量的69%。到12月,这个概率下降到了38%。这个结果 表明,攻击者不仅提高了对全部搜索引擎进行恶意攻击的次数,而且还增加了对谷歌之外的其他搜索引擎的攻击次数。例如,雅虎的概率从6月的18%上升到了 12月的30%;必应的概率从6月的12%上升到了12月的24%;Twitter的概率从6月的1%上升到了12月的8%。尽管相对于以前的研究结果来 说,谷歌的概率正在下降,但是考虑到谷歌是当前使用最广泛的搜索引擎,这个概率还是有些偏高。
这个结果同时表明,网络罪犯不再热衷于建立多样化的内容农场,他们更愿意利用网络实时性的特点,自动绑架谷歌趋势(Google Trends)和雅虎新闻聚合服务(Yahoo Buzz)上的关键词。一旦他们黏上了这些关键词,他们就能使恶意网站在搜索引擎上出现。
据国外媒体报道,近日一种新Twitter病毒正在互联网上泛滥,该病毒利用了Twitter用户对“谁在关注自己”项目的好奇心,引诱用户点击一个恶意 网站链接进行散播。当用户误点击有毒链接后,一些垃圾消息就疯狂传播,诸如:“哇哦!你可以看到谁曾访问了你的Twitter资料,太酷了!”; “我刚刚查看了我的前20名跟踪狂,难以置信前男(女)友每天都在关注我”。
据报道,这类消息正在以每分钟159条的速度扩散,人们对“谁查看过我的Twitter资料“的好奇心之强令人咋舌,而这恰恰被一些别有用心的垃圾信息发送者所利用。
当用户点击恶意网站链接后,会要求用户开放Twitter授权认证,然后利用所取得的授权自动发送以上信息。此病毒是否会造成其他害处仍未完全弄清,自动散播垃圾信息是目前最主要的被感染特征。
据悉,Twitter安全主管德尔·哈维(Del Harvey)建议用户切勿点击恶意链接,如果已被这种新病毒感染,需要用户立即在Settings > Connections > Revoke Access中取消病毒程序在Twitter账号的授权。
编译/网易科技