据报道,一篇LinkedIn关于发布工作职位的帖子变成了一个潜在的网络钓鱼骗局,类似的事件比人们想象的更加常见。
网络攻击者攻击新员工的方式和原因
例如,一家企业录用了一名实习生,并为他提供了办公室的钥匙、网络登录方式和电子邮件地址,当然在工作中他也使用私人邮箱和手机。根据企业的规模,如果使用多因素身份验证,还需要在他们的手机上安装双因素身份验证应用程序,或者为他们提供工作的电话。新员工可能在刚入职之后的一段时间会很忙,因为要学习和使用很多新技术。这可能会让他们不知所措,也会备感压力,因为新员工急切地希望融入工作并适应工作环境。
这也是网络攻击者试图利用的时候,他们寻找渴望积极表现的新员工。例如,网络攻击者在新员工适应企业工作环境时攻击他们。向他们发布的一些邮件的内容在开始时很正常。例如,网络攻击者发了一封电子邮件要求实习生协助快速完成一个项目,这封电子邮件表示,企业管理者正在召开一次闭门会议。要求迅速完成一项任务。这封邮件最后要求新员工尽快转发他的手机号码。
网络攻击者如何了解新员工的状况?他们从员工用于业务联系的工具开始,使用更加个性化网络钓鱼方式。网络攻击者通过监控LinkedIn等商业网站,将一名新聘用的会计实习生与企业的一名合伙人联系起来。网络攻击者发布了一封电子邮件,看起来像是来自合作伙伴,要求实习生为他们提供帮助。他们再次要求新员工提供手机号码,以便发送短信。
这些电子邮件多次进入该公司的商业电子邮箱,但没有被识别为垃圾邮件或被邮件过滤工具识别为钓鱼诱饵。这些电子邮件没有足够的触发器,并完全突破了这家公司现有的电子邮件和端点检测与响应(EDR)措施。
网络攻击者以Uber和Twilio员工为目标
最近的Uber漏洞事件显然是因为网络攻击者诱骗了管理员,让他批准了一个虚假的多因素身份认证(MFA)请求。网络攻击者通过WhatsApp要求管理员提供更多信息,以获得他们的信任,并批准多因素身份认证(MFA)请求。目前尚不清楚网络攻击者是否利用社交媒体工具获取更多信息。
Twilio公司最近透露,网络攻击者以其员工为目标,并能够将其消息来源的员工姓名与他们的电话号码相匹配。网络攻击者能够利用公开可用的数据库建立一对一关系来攻击目标。
如何减轻社交媒体引发的攻击
SocialProof Security公司的Rachel Tobac在推特上证实,网络攻击者正在使用商业工具攻击大型企业和中小型企业。她建议,企业不再在LinkedIn上列出员工信息或招募新员工,而是使用数据删除服务从LinkedIn和其他公司维护的数据库中提取信息。
作为数据删除请求的接收端,发现删除请求暴露的信息可能比数据库中最初的信息更多。一个站点可能只有电子邮件地址,但是数据删除请求也会暴露用户的全名。考虑网站的声誉及其数据删除的跟踪记录。现在网上有如此多的信息,以至于并不能真正从网络中摆脱出来。
当企业雇佣新员工时,让他们充分意识到这些类型的攻击和对企业的风险。敦促新员工不要发布与他们有关的新工作或职位的信息,或者限制只在可信的联系人中发布信息。员工应该确切地知道来自企业的沟通会使用什么方法。让企业的信息安全团队实施“假设”桌面练习,以确保员工知道如何适当地响应安全提示。并且让他们意识到,网络攻击者可能会把企业里的任何人作为攻击目标。
网络攻击者也使用在现实世界中共享的数据
分享过多的个人信息不仅仅是一个网络问题。即使是开车出行,也会暴露大量的信息。也许有人在汽车保险杠上贴上孩子学校的一张贴纸,这表明孩子在哪里上学。如果有人想追踪就很容易记住。或者车上是否有停车证或其他标识工作地点的贴纸?因此需要考虑一下自己驾驶的汽车能在多大程度上识别出来,以及那些试图攻击所在企业的人员将会做什么。
在技术领域,人们常常习惯于通过捷径来完成工作,这容易遭受有针对性的攻击。如果网络攻击者对其行为有足够的了解,就可以相应地进行攻击。因此,企业需要花费一些时间,不仅要消除技术壁垒,还要提供教育和培训。需要记住的是,如果企业的基础设施可能因为某个随机用户的错误决策而受到损害,那么问题并不一定出在用户身上。这是因为企业可能设置了失败的流程,没有帮助他们如何做出正确的选择。
