安全意识 | 美网络安全宣传月 DarkReading带你看黑客“十步杀一人”

10月是欧洲和美国的网络安全宣传月,相当多的大厂商和媒体都在发布网信安全意识宣传文章 。之前IBM回顾了2017网络安全事件和趋势,并提醒大家注意7个方面的安全问题;这次是大名鼎鼎的DarkReading网站给的一篇文章,小编觉得比较有意思,分享给大家,从中可以看到黑客攻击未必都要用到高级手段,而将社会工程学与攻击技术有机结合,反而是最难以防范的。 

1. 利用你的恐惧 最传统的电话诈骗Vishing 往往是攻击者的第一步

最终用户如此专注于寻找欺骗性的电子邮件, 以至于许多人忘记了黑客往往更喜欢低技术的语音或 vishing 的电话。(小编,这其实就是社会工程学的利用,往往越是高知识、高学历的人,越容易被骗。Ourmine是这方面的佼佼者,就是专供社交网络的网络钓鱼,就可以让10多个公司老板中招儿,其中甚至包括了facebook和Twitter的老板。后面我们还可以看到社会工程的其它攻击形式)

在这些电话中, 骗子声称是微软的支持, 并要求用户给他们的凭据和/或他们的信用卡。别这样请记住, 没有一个来自微软的人会给你打电话, 问你的电脑怎么了。国税局也同样如此, 但人们却爱上了它(小编,正式这个空隙,让骗子盯上了用户)。骗子们一直打电话给人们, 告诉他们他们可能欠了一些可信的东西, 比如2012年你欠了3000美元的背税。再强调一次, 这永远不会发生。国税局不会打电话给你, 也不会给你发电子邮件。无论好坏, 他们只会与纳税人就反税的书面沟通。如果你收到一个假的微软技术支持电话, 可以向微软报告: https://www.microsoft.com/en-us/reportascam/。

2. 除了电话 还可以用SEO将您引导至仿冒网站

您是否有需要驱动程序的旧打印机或扫描仪?注意, 因为只需要几个美元,攻击者就可以使用营销策略来驱动搜索引擎的搜索结果,并将流量引到一个仿冒网站上的驱动程序, 感染您的计算机。

例如, 当您对打印的帮助的搜索时, 它可能会将您带到一个看起来像是有官方驱动程序的网站, 但其实它服务于相关恶意软件。而这些攻击者花很少的钱就可以建立一个这样的网站, 然后购买关键词, 以吸引不知情的受害者,这就是常说的网络钓鱼的一种。

3. 仿冒网站也可能有HTTPS证书

传统的观点是, HTTPS 站点上的 SSL 是安全的标志。攻击者一般对这东西比较头疼,不太会做有效的 SSL 证书,或者因为开销问题, 所以攻击者网站上有SSL证书的情况比较少见。但像 letsencrypt.org这样的网站, 它提供了免费的 SSL 证书。

所以,用户不能因为站点是 HTTPS的,就认为它是安全的。对于重要的银行和其他登录页面, 他们应该 "寻找绿色的提示", 这意味着该网站不只是使用 HTTPS, 但使用扩展的验证 ssl 证书 (EV ssl), 坏人无法得到免费的。

4. 仿冒网站看起来像真的 里面充满了恶意软件

人们可以自由浏览网络, 而且并不总是密切关注。黑客可以注册一个合法网站的域名, 但名字起得很像一些有名的网站,如 PayPal 或易趣。聪明的骗子在这些网页上隐藏恶意软件。(小编,有些恶意软件是安装广告,有些是植入后门,更恶劣的就是控制你的电脑,进行诸如挖矿恶意软件。)

5. 使用Unicode控制符从右向左覆盖 你看到的文件名也可能是假的

虽然它已经有一段时间了, 用户也应该知道, 黑客可以使用 Unicode控制符实现"从右向左-覆盖"的手法, 来启动恶意软件。举个例子, 一个文件看起来像这样: validate.exe.jpg, 基本上是一个正常的 jpg 文件。但实际上, 使用 Unicode控制符之后,该文件其实上可以变为一个可执行名为 validate.jpg.exe,但你看到的仍旧是validate.jpg,(小编,这个可跟是否在资源管理器中显示文件扩展名无关)如果你不知道这个手法,无意中执行了,然后就执行了恶意软件, 感染了电脑。

重申黄金法则: 如果你不确定是那个人的文件, 千万不要打开它。

6. 攻击者还会利用你的欲望 所以不要轻易裸拍 也不要相信色情网站订阅

对于这些诱饵, 目标通常是孤独的男人。欺诈者发送一张裸体照片, 引诱受害者送回一张裸体照片。如果这名男子上钩, 欺诈者就会发回赎金威胁, 称他们将在 Facebook 或其他社会媒体上发布照片, 除非他们支付赎金。

这些类型的犯罪门槛很低, 欺诈者甚至不需要写代码或建立网站。他们真正要做的就是有几个. jpg图片就好。在另一个性骗局中, 用户会在工作中收到一个色情网站信息, 信息告诉他们订阅了。要取消订阅, 需要他们提交工作电子邮件和密码。攻击者通常采取的诱饵, 就是让一个安全意识薄弱的人,把企业王国的钥匙交出来。(小编,这中社会工程学的利用与第一步类似,不过利用的心理情绪不同。)

7. 低技术含量的勒索邮件 在恰当的时机反而最有效

正如刚才所讨论的, 一些攻击者的技术含量很低。对于这种引诱, 攻击者会向用户发送一封电子邮件, 表明他们的文件被黑客攻击, 并获得了访问公司帐户的权限。当然, 这是一个完全的虚张声势, 但通常黑客要求300美元 (美元) 价值的比特币。

某些担心的最终用户只是为了安心,就支付赎金了。在这种情况下, 这些黑客所需要的就是一个电子邮件地址, 就可以赚一些快钱。

8. 还可能利用你的工作习惯 通过DropBox、Box或者OneDrive发出的邮件 说“您的文件太大”

您是否曾尝试将文件附加到电子邮件中, 但被告知文件太大?人们已经习惯于通过DropBox、Box或者OneDrive 共享较大的文档文件和视频。在这种惯性的引诱下, 攻击者会向受害者发送一封电子邮件, 看起来像是来自同事或主管的邮件, 并告诉他们从一个正在进行的项目中查看文档。使用此方法, 攻击者可以绕过电子邮件安全保护, 并让受害者打开受欢迎的文件共享站点上的恶意软件。(小编,这就是上个小节中提到的“在一个恰当的时机”。)

9. 如果没有恰当的时机 就用横向移动攻击方式获得管理员权限

安全专家知道, 攻击者有很多方式使用 "横向移动" 来达到他们的目标, 但具有高度特权的最终用户可能不太会意识到,攻击者也会通过公司中的其他人来攻击。

(小编,lateral movement横向移动听起来挺神奇,其实就是多手段辅助攻击。通常攻击都是从一点到另一点的逐步渗透,但达到某个关键点后,可以采用多种手段,辅助或者掩盖主要的进攻路径,最终实现目标,这就是所谓的横向移动,这个词儿来自于马术。)

要达到这样的目标,可以想办法获得人力资源数据库或电汇特权,或者黑客可能需要 IT 支持人员的管理员访问权限。因此, 攻击者可以访问用户的机器, 然后有目的地打破一些东西或发送一张票到服务台说, 一个应用程序, 如 Word 已经在他们的机器上被禁用。当IT支持人员登录到当前机器的时候, 黑客就可以窃取缓存的IT支持人员管理凭据, 进而访问公司更广泛的网络。

10. 还可以用暴力破解工具猜测你的密码

攻击者有的是自动软件, 这些工具可以用字典中每个单词猜测你的密码,因此, 使用密码中的任何单词或名称都可能降低你系统的安全性。这不是 "猜得中或猜不中" 的问题,用户需要将他们的密码集中在字母和数字上, 这是毫无意义的, 重要的是应该在任何字典 (或电话簿) 中都找不到你的密码。

发表评论