网络安全:了解鱼叉式网络钓鱼和防御技术

鱼叉式网络钓鱼是一种社会工程策略，用于攻击那些能够访问黑客所瞄准的资源的个人。它有很高的成功率，已经成为黑客引诱受害者点击链接、打开电子表格或访问其他文档的首选方法。在攻击者已经找出了你的内部漏洞之后，这个简单的点击就为他打开了电子大门。他现在可以触及漏洞，因为你刚刚让他进入，他可以开始挖掘信息和授权访问。黑客是如何做到这一点的，您如何防御这种策略?

美国ICS-CERT已经意识到最近针对各种人员和工业控制系统部门的鱼叉式网络钓鱼活动，并通知了公众。最终，攻击实体希望在设施中获得一个立足点——立足点离目标越近越好，但通常任何立足点都可以。因此，没有人能够幸免于有针对性的鱼叉式网络钓鱼活动:

• 流程工程师收到来自自动化合作伙伴或供应商的电子邮件通知，该通知看起来是合法的
• 财务分析师会收到与当前项目分析数据相关的电子邮件电子表格
• 一位高管收到一个网站链接，其中包含竞争对手最近收购的信息。

攻击者的目标是将受害者引诱到一个不可信的网络位置，通常是通过打开恶意PDF、文本文档、电子表格、Java应用程序或网站。流程工程师、财务分析师和高管的数据请求从受保护的网络出站传输到Internet的不受信任区域，从而允许入侵者进入。攻击者通过使用LinkedIn和Facebook等资源来了解社会关系来选择受害者;工作和留言板网站，了解供应商关系，角色和责任;甚至可以使用技术工具来清除位于公共网站上的授权文件，以了解目标组织中使用的Microsoft Office、Adobe Acrobat和Java的版本和安全补丁级别。

其他开源情报(OSINT)来源和主题可以包括:

• 公关及媒体发布
• 业务并购、股票和财务报表
• 自然灾害
• 政府和行业活动和会议
• 政府数据库
• 国际或政治事件
• 供应商的成功案例和获得的合同
• 社交媒体网站，以及
• 工作和留言板。

如果你意识到自己成为了目标，一定要保留这些电子邮件。还要监控你的电子邮件和网络活动。不要认为您所识别的事情是孤立的事件——它很可能只是您组织中更广泛的活动的一个实例。最近，PhishMe和Critical Intelligence合作进行了一项研究，并在2013年1月的年度S4会议上发布了他们的研究结果。你可以看到他们展示的结果，但重点是鱼叉式网络钓鱼。

捍卫自己

唯一可行的防御方法就是训练你的人意识到发生了什么。你无法将这些信息拒之门外，所以你必须在真正的攻击开始之前，尝试将目标锁定在你自己的员工身上。你必须试着愚弄你自己的人民，看看谁会成为受害者。那些打开虚假附件的人需要接受培训，了解他们做错了什么。这次演习将为您的人员提供积极的安全意识。一些人或许多人将成为受害者，然后将由你来确保真正的教育过程开始。你马上就有一个选择:你是把这个过程外包给像PhishMe这样的组织，还是在内部做?

如果你选择把它放在内部，这里有一些工具你可以尝试:

• Maltego- OSINT和取证
• 社会工程工具包-常用的社会工程攻击和数据采集器
• Metagoofil -信息收集工具，提取文档元数据
• 在线文档元数据提取器
• USB橡胶小鸭-秘密数据提取u盘

当然，不要在没有经过适当的培训和授权的情况下就开始使用这些工具——与外部咨询公司签订合同来执行更有针对性的活动可能会更简单。

像PhishMe这样的安全供应商提供了一种结构化的机制来针对组织电子邮件并生成结果报告。然后，您可以将此活动与安全意识活动(例如SANS研究所的保护人类．

马特·卢艾伦(Matt Luallen)是安全培训和咨询机构Cybati的创始人．

在线

https://cybati.org/

https://www.digitalbond.com/blog/2013/01/30/s4x13-video-ics-spear-phishing/

去控制工程的媒体库观看马特·卢艾伦的网络安全培训系列。

您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献，并获得你和你的公司应得的认可。点击在这里开始这个过程。