无论是行业大鳄,还是微不足道的SOHO家庭办公,一样都会遭到黑客攻击,而且危害不仅仅是销掉几张信用卡那么简单。如何保护企业网络和用户的安全?以下这些细节切记不可忽视。
细节1:知道谁会被黑客盯上,怎样、以及为何被盯上
由于最近时而爆出知名公司(包括谷歌)网络受到攻击的新闻,许多企业主可能会想:“这种事不会发生在我身上—我的服务器上又没什么非常宝贵的资料值得攻击者下手”。事实上,许多攻击根本不是针对性的,而是自我选择的结果。也就是说,攻击者广撒鱼网:将成千上万封邮件发送到采集来的一批邮件地址上,给予回复的邮件地址(无论是通过点击邮件里面的链接,还是发送回应信息的嵌入式图片)都是自我选择的目标,然后对其下手。
针对性攻击有另一个广为人知的说法,那就是“鱼叉式网络钓鱼(spear phishing)”,这是一种比较危险的攻击。一名出色的攻击者会采取侦查手段—搜索目标组织的网站、上市公司向证券交易委员会提交的季度报告以及新闻稿,从中找出重要人物的姓名和邮件地址。如果这一招不灵,攻击者可能会混迹于众多行业会议和公开演讲活动(会议网站上几乎总是保存了幻灯片,其中演讲者的姓名、头衔和邮件地址一应俱全);他们还会光顾社交网络网站—黑客只要通过Facebook粉丝页面和LinkedIn个人档案,摸清楚谁是企业负责人,然后就比较容易设圈套了。
一般的垃圾邮件发送者注重数量,而鱼叉式网络钓鱼攻击者注重质量。经常处理敏感文档,或者在公司文件服务器方面拥有更高权限的任何高管,都可能会成为受害者。虽然一家公司的头儿,比如首席执行官,会是鱼叉式网络钓鱼攻击者的主要目标,但同样不能忽视了首席执行官的行政助理。行政助理平时每天替首席执行官收取陌生发件人发来的成百上千封邮件,可能还负责整理收到的所有邮件,往往压力很大,丝毫不敢延迟对重要邮件的回复,因而更可能会在计算机安全方面作出糟糕的决定。
由于相似的原因,企业的法律顾问或专职律师也很容易成为攻击目标,特别是遭到Adobe PDF攻击。律师经常彼此之间交换大容量的PDF文档。所以不难想象,当有人利用某律师常联系的一家颇有影响力的知识产权律师事务所的虚假地址,发送传达停止不正当竞争命令的假冒邮件,或者将恶意代码添加到PDF文档中,这名律师会不假思索地打开这样的邮件;一旦PDF文档里面的恶意代码得到执行,律师的电脑实际上就已被攻击者所“掌控”。
细节2:当心圈套
企图获取竞争情报或实施企业间谍行为的鱼叉式网络钓鱼攻击,可能会采用极具针对性的邮件或即时消息(如IM和Twitter消息等),以使受害者更容易上钩。一家研究机构的知名核物理学家不太可能会点击兜售假冒劳力士手表或纯天然壮阳药的链接,但是如果邮件邀请受害者在一场知名的核物理学讨论会上发表专题演讲,就极容易中招。
你可能觉得,在2010年,大多数用户(尤其是技术员工)会对声称“我们在改进安全措施”的任何要求用户密码重置的伎俩或邮件产生怀疑;但不幸的是,还是有多得惊人的用户在上这种当。Special Ops Security公司在为企业组织和政府部门进行安全评估时,会进行一些有控制的试验:有意地针对该组织的某些人进行网络钓鱼攻击,跟踪在加密网站上的点击操作和密码输入。试验甚至为组织的CIO们开设了自助服务门户网站PhishMe.com,CIO们可以对自己的员工进行模拟的鱼叉式网络钓鱼攻击。模拟测试的结果往往让人大吃一惊,人们的安全意识真的不如CIO们想象的那样强。
细节3:使用惟一的邮件地址,将密码重置邮件拒之门外
如果你觉得自己不会轻易相信谈论贵公司即将推出的新产品的针对性邮件,或者是关于集体诉讼调解通知的恶意PDF文档,那么还要当心一类始终存在的密码重置和社交网络通知邮件。遗憾的是,由于用户数量众多,大多数网站设有忘记密码后重置密码的功能,通过向用户发送邮件,以便使用户能够正常使用账户。此外,我们往往认为社交网站会发来通知邮件,提醒我们有新朋友请求,或者别人发布了我们自己的照片,黑客却会利用这种人性的弱点,让你无法抗拒—怎样才能忍住不去点击题为“见过你在昨晚狂欢时拍下的这张照片吗”的链接?怎样才能辨别这封邮件是否真是Facebook或MySpace发送的?
最终,只有足够多的网站采用了电子签名和DNS级安全机制,才能让这些虚假邮件无处藏身。在此之前,我们可以使用一种方法来确保收到的邮件真实无误:为经常访问的每个社交网络网站(或者电子商务(电商频道)网站、航空公司网站等)使用惟一的邮件地址。
如果你很幸运,拥有自己的域名和邮件服务器(Google Apps在这方面大有帮助),可以获得linkedin@johndoe.name“>linkedin@johndoe.name和bankofamerica@janesmith.org”>bankofamerica@janesmith.org之类的邮件地址;如果你收到声称由某网站发来、但接收邮件的地址却不相符的任何通知邮件,要意识到该邮件非常可疑,立即把它删掉。
大多数人没有自己的域名,或者有些人担心别人可能很容易猜中自己的myspace@alicejones.net“>myspace@alicejones.net地址解析方案;对这些人来说,可以借助一些邮件伪装服务,比如Sneakemail.com。它可以让你创建数量不受限制的邮件别名,每个月只要付2美元就够了。这样一来,你可以为每个网站使用一个惟一的邮件地址,所有邮件都会转发到你的真实邮箱。这项服务甚至还能处理回信,所以你的真实邮件地址根本不会出现在网站上。
如果你收到的密码重置通知邮件是直接发到你的办公邮件地址,而不是发到你在该网站的惟一地址,那你就会知道这不是垃圾邮件,就是网络钓鱼。这种做法的另一个好处是,你还能发现哪些恬不知耻的网站在与第三方共享你的个人信息。如果你收到一家公司主动发来的几封垃圾邮件,而这个收信地址你只为某家航空公司的飞行常客俱乐部提供过,那不用说,你的个人信息就是被这家航空公司泄露了。赶紧联系该俱乐部的隐私部门,要求他们改正错误,并立即销掉这个账户吧!
细节4:不要点击邮件里面的任何内容
不要点击邮件里面的链接,连已知发件人发来的邮件链接都不要点击。格式规范的HTML邮件在大大的”点击这里“按钮正下方会有一个ULR,通常在写