常識告訴我們，用戶是IT風險管理中最薄弱的一環，特別針對是一些“天真勇敢”的用戶……但是黑客究竟是如何利用這種天真(缺乏保護意識)進入用戶終端和公司賬戶的呢?他們運用的很多方法涉及到一些心理學花招，從而大多數的攻擊中混進了網絡釣魚和社會工程學的參與。

[[132113]]

這里列舉了七種用戶“應該”被黑的理由：

一、自動上鉤

[[132114]]

網絡釣魚因其有效性、影響大卻簡易的特點，自始至終都是黑客的最好伙伴，也常作為復雜攻擊的起始。據本周Verizon DBIR報告顯示，23%的網絡釣魚收件人會打開惡意消息，有11%的人會開打附件，而從釣魚者撒下魚餌到有人上鉤的過程平均只花費了82秒。

不去點那些莫名的鏈接是有多難啊!

二、相信詐騙電話

[[132115]]

與網絡釣魚相似，有時對于攻擊者來說最簡單的方法就是直接開口向被害人索要其的系統和賬戶。聽起來可能有些不可思議，但很多時候黑客只需要偽裝一下，再打電話詢問用戶登錄賬戶及密碼。有時他們假裝成內部員工或者業務合作伙伴打電話要求其他員工去打開一個有遠程訪問木馬的特殊文檔，從而得逞。

三、不更新系統補丁

[[132116]]

最新Verizon DBIR報告中還展示了一個利用不同漏洞進行攻擊的比例，據Verizon調查大約97%攻擊是針對Top10并且存在多年的漏洞進行的。用戶時常因不更新系統或者選擇不安裝這些常見漏洞的補丁。試問這些常期不更新的用戶，請問你們還有什么理由不被黑啊?

四、用簡單密碼

不久前的索尼公司被黑客攻擊中，黑客曝光了一個由索尼員工和IT人員使用的密碼，尷尬的是其中不乏包括“12345”和“密碼”(Password)在內的熱門通用密碼。正如OWASP在他們的簡單密碼介紹測試文件中所說，

“密碼是一個王國的鑰匙，但用戶往往以使用者的名義將王國顛覆。”

五、使用未受保護的公共WiFi

[[132117]]

上月的315晚會上，“360網絡安裝工程師”向用戶提供了很好的證據說明為何用戶在使用公共WiFi時需要注意保護自己和VPN。而Cylance研究者發現29個國家的277個酒店、數據中心和會議中心的無線路由器存在嚴重安全漏洞。僅僅一個公共免費熱點，就能夠為黑客提供一個豐富的獵場，去肆無忌憚地“捕食”無辜群眾。

六、在社交媒體上說太多

黑客喜歡在社交媒體中尋找獵物的原因有很多，其中一個重要的原因是為了方便調查。人們在社交網站中分享的信息通?？梢宰尮粽咻p易猜出用戶密碼或者得出密碼重設的問題的答案，同時也提供了足夠多的資料使魚叉型釣魚更容易實施。模仿熱門社交網站的圖形或者插件也是惡意軟件分布的重要渠道。例如，現在攻擊者誘導用戶在網站點“贊”按鈕，其實這是個會導致惡意軟件安裝的觸發器。這種被稱為“點擊劫持”方式讓黑客在社交媒體中大行其道。

七、太依賴網絡

[[132118]]

BYOD(自帶設備隨地辦公)是一個新興的概念，而IT自主服務、自我指導已成為一種常態。當用戶想要在他們的公司系統中自由地安裝更多程序或者把數據移動到不受限制的云端時，他們就要面臨更大的風險。因此，必須找到一個解決辦法讓用戶能自由完成他們工作的同時，保障對工作或生活的數據管理與審計控制。