■謝軍

7個黑你的理由

■謝軍

常識告訴我們，用戶是IT風(fēng)險管理中最薄弱的一環(huán)，特別針對是一些“天真勇敢”的用戶……但是黑客究竟是如何利用這種天真（缺乏保護(hù)意識）進(jìn)入用戶終端和公司賬戶的呢？他們運(yùn)用的很多方法涉及到一些心理學(xué)花招，從而大多數(shù)的攻擊中混進(jìn)了網(wǎng)絡(luò)釣魚和社會工程學(xué)的參與。

這里列舉了七種用戶“應(yīng)該”被黑的理由：

一、自動上鉤

網(wǎng)絡(luò)釣魚因其有效性、影響大卻簡易的特點，自始至終都是黑客的最好伙伴，也常作為復(fù)雜攻擊的起始。據(jù)本周Verizon DBIR報告顯示，23%的網(wǎng)絡(luò)釣魚收件人會打開惡意消息，有11%的人會開打附件，而從釣魚者撒下魚餌到有人上鉤的過程平均只花費了82秒。

二、相信詐騙電話

與網(wǎng)絡(luò)釣魚相似，有時對于攻擊者來說最簡單的方法就是直接開口向被害人索要其的系統(tǒng)和賬戶。聽起來可能有些不可思議，但很多時候黑客只需要偽裝一下，再打電話詢問用戶登錄賬戶及密碼。有時他們假裝成內(nèi)部員工或者業(yè)務(wù)合作伙伴打電話要求其他員工去打開一個有遠(yuǎn)程訪問木馬的特殊文檔，從而得逞。

三、不更新系統(tǒng)補(bǔ)丁

最新Verizon DBIR報告中還展示了一個利用不同漏洞進(jìn)行攻擊的比例，據(jù)Verizon調(diào)查大約97%攻擊是針對Top10并且存在多年的漏洞進(jìn)行的。用戶時常因不更新系統(tǒng)或者選擇不安裝這些常見漏洞的補(bǔ)丁。試問這些常期不更新的用戶，請問你們還有什么理由不被黑??？

四、用簡單密碼

不久前的索尼公司被黑客攻擊中，黑客曝光了一個由索尼員工和IT人員使用的密碼，尷尬的是其中不乏包括“12345”和“密碼”（Password）在內(nèi)的熱門通用密碼。正如OWASP在他們的簡單密碼介紹測試文件中所說，

“密碼是一個王國的鑰匙，但用戶往往以使用者的名義將王國顛覆。”

五、使用未受保護(hù)的公共WiFi

315晚會上，“360網(wǎng)絡(luò)安裝工程師”向用戶提供了很好的證據(jù)說明為何用戶在使用公共WiFi時需要注意保護(hù)自己和VPN。而Cylance研究者發(fā)現(xiàn)29個國家的277個酒店、數(shù)據(jù)中心和會議中心的無線路由器存在嚴(yán)重安全漏洞。僅僅一個公共免費熱點，就能夠為黑客提供一個豐富的獵場，去肆無忌憚地“捕食”無辜群眾。

六、在社交媒體上說太多

黑客喜歡在社交媒體中尋找獵物的原因有很多，其中一個重要的原因是為了方便調(diào)查。人們在社交網(wǎng)站中分享的信息通常可以讓攻擊者輕易猜出用戶密碼或者得出密碼重設(shè)的問題的答案，同時也提供了足夠多的資料使魚叉型釣魚更容易實施。模仿熱門社交網(wǎng)站的圖形或者插件也是惡意軟件分布的重要渠道。

七、太依賴網(wǎng)絡(luò)

BYOD(自帶設(shè)備隨地辦公)是一個新興的概念，而IT自主服務(wù)、自我指導(dǎo)已成為一種常態(tài)。當(dāng)用戶想要在他們的公司系統(tǒng)中自由地安裝更多程序或者把數(shù)據(jù)移動到不受限制的云端時，他們就要面臨更大的風(fēng)險。因此，必須找到一個解決辦法讓用戶能自由完成他們工作的同時，保障對工作或生活的數(shù)據(jù)管理與審計控制。