怕是釣鯊魚-谷歌Docs線上辦公套件被大規(guī)模釣魚
谷歌的在線辦公套件Docs近日遭受了一起大規(guī)模釣魚攻擊,并以很快的速度在網(wǎng)上傳播,好在谷歌已經(jīng)解決了這個(gè)問題。
據(jù)悉,這起攻擊通過偽造谷歌Docs的應(yīng)用向用戶提出帳號(hào)權(quán)限請(qǐng)求,若用戶點(diǎn)擊并確認(rèn)授權(quán),那么行騙者就將獲取到用戶的谷歌帳戶訪問權(quán)限。在入侵成功后,釣魚應(yīng)用會(huì)向用戶的通訊錄好友發(fā)送電子郵件來實(shí)現(xiàn)連環(huán)傳播。
據(jù)稱,給予Gmail帳號(hào)權(quán)限就相當(dāng)于提供了用戶名和密碼,即使沒有輸入密碼也會(huì)成為釣魚攻擊的受害者。
對(duì)此谷歌提醒用戶不要點(diǎn)擊陌生的鏈接,也不要下載來歷不明的應(yīng)用程序,這些都有可能成為釣魚攻擊的受害者。
好在如今局勢(shì)已經(jīng)得到了控制,該應(yīng)用也被谷歌禁用了。事實(shí)上這也不是谷歌第一次被釣魚攻擊了,畢竟想谷歌這種體量的公司和產(chǎn)品影響力,被釣魚更是家常便飯,所以今天我們和大家談的就是釣魚。
釣?zāi)泗~怎么了?
據(jù)統(tǒng)計(jì),約92%的數(shù)據(jù)泄露事件與社會(huì)工程學(xué)事件和魚叉式網(wǎng)絡(luò)釣魚攻擊有關(guān)。網(wǎng)絡(luò)釣魚攻擊通常是電子郵件釣魚,然后騙取受害者點(diǎn)擊惡意鏈接,最后使用惡意的漏洞Payload攻擊受害者計(jì)算機(jī)。
換句話說,如果一個(gè)員工誤點(diǎn)擊惡意鏈接,黑客可能被盜取賬戶信息,或者電腦被人種上木馬,導(dǎo)致企業(yè)內(nèi)網(wǎng)因此淪陷,業(yè)務(wù)數(shù)據(jù)和敏感信息也會(huì)陷入巨大風(fēng)險(xiǎn)之中。
新式的釣魚郵件通常含有連往釣魚網(wǎng)站超鏈接;冒名發(fā)信后,要求回信至與發(fā)信人完全無關(guān)的電子郵件地址郵件;以及冒名金融、第三方支付、快遞公司等的偽造郵件,欺詐用戶。
面對(duì)這么多釣魚郵件,我怕是要把自己變成鯊魚才能放心
變成鯊魚,變得強(qiáng)大,你需要:
首先!
在點(diǎn)擊運(yùn)行程序或打開不明文件時(shí)要先用別的方法(如電話或即時(shí)通訊)確認(rèn)。隨時(shí)確認(rèn)在今時(shí)今日必須成為日常核實(shí)工作的一部分。隨時(shí)報(bào)告任何可疑的東西。必須對(duì)不知來源的,不受信任的郵件提高警惕,而假如不小心運(yùn)行了什么不明程序,應(yīng)該及時(shí)報(bào)告。最起碼,亡羊補(bǔ)牢為時(shí)未晚,受到釣魚郵件攻擊不是值得羞愧的事情,由于攻擊太復(fù)雜,任何人今天都可能被騙,即便是安全專家也不例外。
其次!
員工要學(xué)會(huì)認(rèn)識(shí)釣魚郵件的特征,企業(yè)也可以使用假冒的釣魚手法來對(duì)員工進(jìn)行測(cè)試。這樣員工在遇到釣魚郵件的同時(shí),可以提前發(fā)現(xiàn)其威脅,如果做法的當(dāng),員會(huì)工質(zhì)疑任何來歷不明的、要求輸入個(gè)人資料的電子郵件并且在執(zhí)行程序時(shí)更加小心。
然后!
親身體驗(yàn),現(xiàn)身說法的效果極好,如果針對(duì)性釣魚的做法不幸在員工身上得逞,可建議員工針對(duì)自身經(jīng)歷寫出自己疏忽犯錯(cuò)的地方,并且以真實(shí)的網(wǎng)絡(luò)釣魚電子郵件做范例進(jìn)行鑒別,最終達(dá)到疏而不漏,強(qiáng)化意識(shí)的目的。
最后!
如何保證我們的信息安全呢?其中必須要做的是在公司防止我們的員工信息泄露。那個(gè)經(jīng)常打電話收集公司組織架構(gòu)圖,員工姓名和電話號(hào)碼的人,有可能不是一個(gè)真正的你家員工,他們可能是騙取我們員工信息的人。通過以下幾個(gè)步驟-確保自己和公司的信息安全。
1. 相信你的直覺 - 如果一個(gè)請(qǐng)求看起來有問題,那么可能就是有問題的。
不管這個(gè)人是值得信賴的還是有話語權(quán)的,如果這個(gè)請(qǐng)求不正常,那就要用懷疑的態(tài)度去對(duì)待有問題的請(qǐng)求。
2. 驗(yàn)證請(qǐng)求者 - 信息竊賊經(jīng)常通過偽裝成一個(gè)內(nèi)部員工來竊取情報(bào)
可以通過公司電話簿通信錄的記錄重新回?fù)芑厝ィ瑏眚?yàn)證這個(gè)人的真假。
3. 利用公司資源 - 聯(lián)系信息和組織結(jié)構(gòu) - 這兩個(gè)信息竊賊想要的東西,默認(rèn)就存在于企業(yè)的網(wǎng)絡(luò)中。只要是正式員工就會(huì)有權(quán)限就能看得到,如果他們看不到那就說明不是正式員工。
4. 通報(bào)專家 - 如果確認(rèn)有這樣可疑的行為(無論這個(gè)人是通過電話還是郵件),請(qǐng)確保相關(guān)信息安全或設(shè)施安全小組已知曉。
【本文為51CTO專欄“柯力士信息安全”原創(chuàng)稿件,轉(zhuǎn)載請(qǐng)聯(lián)系原作者(微信號(hào):JW-assoc)】
