谷歌的在线办公套件Docs近日遭受了一起大规模钓鱼攻击,并以很快的速度在网上传播,好在谷歌已经解决了这个问题。
据悉,这起攻击通过伪造谷歌Docs的应用向用户提出帐号权限请求,若用户点击并确认授权,那么行骗者就将获取到用户的谷歌帐户访问权限。在入侵成功后,钓鱼应用会向用户的通讯录好友发送电子邮件来实现连环传播。
据称,给予Gmail帐号权限就相当于提供了用户名和密码,即使没有输入密码也会成为钓鱼攻击的受害者。
对此谷歌提醒用户不要点击陌生的链接,也不要下载来历不明的应用程序,这些都有可能成为钓鱼攻击的受害者。
好在如今局势已经得到了控制,该应用也被谷歌禁用了。事实上这也不是谷歌第一次被钓鱼攻击了,毕竟想谷歌这种体量的公司和产品影响力,被钓鱼更是家常便饭,所以今天我们和大家谈的就是钓鱼。
钓你鱼怎么了?
据统计,约92%的数据泄露事件与社会工程学事件和鱼叉式网络钓鱼攻击有关。网络钓鱼攻击通常是电子邮件钓鱼,然后骗取受害者点击恶意链接,最后使用恶意的漏洞Payload攻击受害者计算机。
换句话说,如果一个员工误点击恶意链接,黑客可能被盗取账户信息,或者电脑被人种上木马,导致企业内网因此沦陷,业务数据和敏感信息也会陷入巨大风险之中。
新式的钓鱼邮件通常含有连往钓鱼网站超链接;冒名发信后,要求回信至与发信人完全无关的电子邮件地址邮件;以及冒名金融、第三方支付、快递公司等的伪造邮件,欺诈用户。
面对这么多钓鱼邮件,我怕是要把自己变成鲨鱼才能放心
变成鲨鱼,变得强大,你需要:
首先!
在点击运行程序或打开不明文件时要先用别的方法(如电话或即时通讯)确认。随时确认在今时今日必须成为日常核实工作的一部分。随时报告任何可疑的东西。必须对不知来源的,不受信任的邮件提高警惕,而假如不小心运行了什么不明程序,应该及时报告。最起码,亡羊补牢为时未晚,受到钓鱼邮件攻击不是值得羞愧的事情,由于攻击太复杂,任何人今天都可能被骗,即便是安全专家也不例外。
其次!
员工要学会认识钓鱼邮件的特征,企业也可以使用假冒的钓鱼手法来对员工进行测试。这样员工在遇到钓鱼邮件的同时,可以提前发现其威胁,如果做法的当,员会工质疑任何来历不明的、要求输入个人资料的电子邮件并且在执行程序时更加小心。
然后!
亲身体验,现身说法的效果极好,如果针对性钓鱼的做法不幸在员工身上得逞,可建议员工针对自身经历写出自己疏忽犯错的地方,并且以真实的网络钓鱼电子邮件做范例进行鉴别,最终达到疏而不漏,强化意识的目的。
最后!
如何保证我们的信息安全呢?其中必须要做的是在公司防止我们的员工信息泄露。那个经常打电话收集公司组织架构图,员工姓名和电话号码的人,有可能不是一个真正的你家员工,他们可能是骗取我们员工信息的人。通过以下几个步骤-确保自己和公司的信息安全。
1. 相信你的直觉 - 如果一个请求看起来有问题,那么可能就是有问题的。
不管这个人是值得信赖的还是有话语权的,如果这个请求不正常,那就要用怀疑的态度去对待有问题的请求。
2. 验证请求者 - 信息窃贼经常通过伪装成一个内部员工来窃取情报
可以通过公司电话簿通信录的记录重新回拨回去,来验证这个人的真假。
3. 利用公司资源 - 联系信息和组织结构 - 这两个信息窃贼想要的东西,默认就存在于企业的网络中。只要是正式员工就会有权限就能看得到,如果他们看不到那就说明不是正式员工。
4. 通报专家 - 如果确认有这样可疑的行为(无论这个人是通过电话还是邮件),请确保相关信息安全或设施安全小组已知晓。
【本文为51CTO专栏“柯力士信息安全”原创稿件,转载请联系原作者(微信号:JW-assoc)】