據(jù)報(bào)道，一篇LinkedIn關(guān)于發(fā)布工作職位的帖子變成了一個潛在的網(wǎng)絡(luò)釣魚騙局，類似的事件比人們想象的更加常見。

網(wǎng)絡(luò)攻擊者攻擊新員工的方式和原因

例如，一家企業(yè)錄用了一名實(shí)習(xí)生，并為他提供了辦公室的鑰匙、網(wǎng)絡(luò)登錄方式和電子郵件地址，當(dāng)然在工作中他也使用私人郵箱和手機(jī)。根據(jù)企業(yè)的規(guī)模，如果使用多因素身份驗(yàn)證，還需要在他們的手機(jī)上安裝雙因素身份驗(yàn)證應(yīng)用程序，或者為他們提供工作的電話。新員工可能在剛?cè)肼氈蟮囊欢螘r間會很忙，因?yàn)橐獙W(xué)習(xí)和使用很多新技術(shù)。這可能會讓他們不知所措，也會備感壓力，因?yàn)樾聠T工急切地希望融入工作并適應(yīng)工作環(huán)境。

這也是網(wǎng)絡(luò)攻擊者試圖利用的時候，他們尋找渴望積極表現(xiàn)的新員工。例如，網(wǎng)絡(luò)攻擊者在新員工適應(yīng)企業(yè)工作環(huán)境時攻擊他們。向他們發(fā)布的一些郵件的內(nèi)容在開始時很正常。例如，網(wǎng)絡(luò)攻擊者發(fā)了一封電子郵件要求實(shí)習(xí)生協(xié)助快速完成一個項(xiàng)目，這封電子郵件表示，企業(yè)管理者正在召開一次閉門會議。要求迅速完成一項(xiàng)任務(wù)。這封郵件最后要求新員工盡快轉(zhuǎn)發(fā)他的手機(jī)號碼。

網(wǎng)絡(luò)攻擊者如何了解新員工的狀況?他們從員工用于業(yè)務(wù)聯(lián)系的工具開始，使用更加個性化網(wǎng)絡(luò)釣魚方式。網(wǎng)絡(luò)攻擊者通過監(jiān)控LinkedIn等商業(yè)網(wǎng)站，將一名新聘用的會計(jì)實(shí)習(xí)生與企業(yè)的一名合伙人聯(lián)系起來。網(wǎng)絡(luò)攻擊者發(fā)布了一封電子郵件，看起來像是來自合作伙伴，要求實(shí)習(xí)生為他們提供幫助。他們再次要求新員工提供手機(jī)號碼，以便發(fā)送短信。

這些電子郵件多次進(jìn)入該公司的商業(yè)電子郵箱，但沒有被識別為垃圾郵件或被郵件過濾工具識別為釣魚誘餌。這些電子郵件沒有足夠的觸發(fā)器，并完全突破了這家公司現(xiàn)有的電子郵件和端點(diǎn)檢測與響應(yīng)(EDR)措施。

網(wǎng)絡(luò)攻擊者以Uber和Twilio員工為目標(biāo)

最近的Uber漏洞事件顯然是因?yàn)榫W(wǎng)絡(luò)攻擊者誘騙了管理員，讓他批準(zhǔn)了一個虛假的多因素身份認(rèn)證(MFA)請求。網(wǎng)絡(luò)攻擊者通過WhatsApp要求管理員提供更多信息，以獲得他們的信任，并批準(zhǔn)多因素身份認(rèn)證(MFA)請求。目前尚不清楚網(wǎng)絡(luò)攻擊者是否利用社交媒體工具獲取更多信息。

Twilio公司最近透露，網(wǎng)絡(luò)攻擊者以其員工為目標(biāo)，并能夠?qū)⑵湎碓吹膯T工姓名與他們的電話號碼相匹配。網(wǎng)絡(luò)攻擊者能夠利用公開可用的數(shù)據(jù)庫建立一對一關(guān)系來攻擊目標(biāo)。

如何減輕社交媒體引發(fā)的攻擊

SocialProof Security公司的Rachel Tobac在推特上證實(shí)，網(wǎng)絡(luò)攻擊者正在使用商業(yè)工具攻擊大型企業(yè)和中小型企業(yè)。她建議，企業(yè)不再在LinkedIn上列出員工信息或招募新員工，而是使用數(shù)據(jù)刪除服務(wù)從LinkedIn和其他公司維護(hù)的數(shù)據(jù)庫中提取信息。

作為數(shù)據(jù)刪除請求的接收端，發(fā)現(xiàn)刪除請求暴露的信息可能比數(shù)據(jù)庫中最初的信息更多。一個站點(diǎn)可能只有電子郵件地址，但是數(shù)據(jù)刪除請求也會暴露用戶的全名?？紤]網(wǎng)站的聲譽(yù)及其數(shù)據(jù)刪除的跟蹤記錄?，F(xiàn)在網(wǎng)上有如此多的信息，以至于并不能真正從網(wǎng)絡(luò)中擺脫出來。

當(dāng)企業(yè)雇傭新員工時，讓他們充分意識到這些類型的攻擊和對企業(yè)的風(fēng)險(xiǎn)。敦促新員工不要發(fā)布與他們有關(guān)的新工作或職位的信息，或者限制只在可信的聯(lián)系人中發(fā)布信息。員工應(yīng)該確切地知道來自企業(yè)的溝通會使用什么方法。讓企業(yè)的信息安全團(tuán)隊(duì)實(shí)施“假設(shè)”桌面練習(xí)，以確保員工知道如何適當(dāng)?shù)仨憫?yīng)安全提示。并且讓他們意識到，網(wǎng)絡(luò)攻擊者可能會把企業(yè)里的任何人作為攻擊目標(biāo)。

網(wǎng)絡(luò)攻擊者也使用在現(xiàn)實(shí)世界中共享的數(shù)據(jù)

分享過多的個人信息不僅僅是一個網(wǎng)絡(luò)問題。即使是開車出行，也會暴露大量的信息。也許有人在汽車保險(xiǎn)杠上貼上孩子學(xué)校的一張貼紙，這表明孩子在哪里上學(xué)。如果有人想追蹤就很容易記住?；蛘哕嚿鲜欠裼型＼囎C或其他標(biāo)識工作地點(diǎn)的貼紙?因此需要考慮一下自己駕駛的汽車能在多大程度上識別出來，以及那些試圖攻擊所在企業(yè)的人員將會做什么。

在技術(shù)領(lǐng)域，人們常常習(xí)慣于通過捷徑來完成工作，這容易遭受有針對性的攻擊。如果網(wǎng)絡(luò)攻擊者對其行為有足夠的了解，就可以相應(yīng)地進(jìn)行攻擊。因此，企業(yè)需要花費(fèi)一些時間，不僅要消除技術(shù)壁壘，還要提供教育和培訓(xùn)。需要記住的是，如果企業(yè)的基礎(chǔ)設(shè)施可能因?yàn)槟硞€隨機(jī)用戶的錯誤決策而受到損害，那么問題并不一定出在用戶身上。這是因?yàn)槠髽I(yè)可能設(shè)置了失敗的流程，沒有幫助他們?nèi)绾巫龀稣_的選擇。