安全领域容不得情感用事

作者：Tony Perez | 2020年12月29日

危害组织的最快速且最有效的方式莫过于社会工程学攻击。在数字领域，社会工程学几乎总是与某种形式的钓鱼攻击同义。

最简单的钓鱼攻击就是引诱受害者上钩以实现某种目的。这就像钓鱼：你把蠕虫挂在鱼钩上抛入水中等待，最终会有饥饿的鱼儿游过来说"嘿，看这里，晚餐…"。它们咬钩，就像变魔术一样，你钓到了鱼。

钓鱼攻击的世界

随着安全防护的提升，钓鱼攻击对攻击者变得愈发重要。随着物理网络消失、组织向云端迁移，钓鱼攻击正变得越来越突出。

原因很简单：钓鱼利用了安全行业自诞生以来就一直难以应对的漏洞——人性弱点。

人们通常认为钓鱼攻击来自电子邮件，但这只是其中一种媒介。钓鱼攻击已经进化，可以通过社交媒体、语音平台等无数其他渠道发起。

人性弱点并不完全是人类的过错。人类是习惯性生物，而科技公司引入的习惯往往与安全领域的实践背道而驰。

为了说明这一点，以下是导致钓鱼攻击如此有效的几个因素：

• 链接的设计初衷就是让人点击
• 文件的设计初衷就是让人打开
• 技术有意模糊了信息来源的敏感细节，大公司的思路是"不要用用户不关心的信息淹没他们"
• 技术允许我们利用颜色、样式等元素吸引用户心智，鼓励互动（各种规模的公司都有专门团队从事这种形式操纵）

而现在又出现了新的障碍——不要伤害员工的感情。

攻击者不在乎你的感受

在我们生活的这个荒谬世界里，感情竟然成了关于组织安全讨论的一部分。

我们说的不是员工遭受虐待、攻击或不公平待遇，而是指模拟攻击者策略的测试会因其"不合时宜"的性质而冒犯员工。

举例来说，2020年圣诞节期间，GoDaddy决定运行一个测试，提供奖金代替节日派对。测试内容如下：

[此处省略具体测试内容描述]

这个测试很巧妙，原因在于：

• 模拟了GoDaddy为其他活动发送的邮件
• 利用了当时每个人最关心的事情——没有节日派对（这是GoDaddy曾经闻名且深受员工珍视的传统）
• 间接呼应了疫情现状——“我们无法相聚”
• 也呼应了经济状况——“到处都资金紧张，我们想改善这种情况”
• 安全团队设身处地思考了攻击者的行为方式——“他们会怎么做？”

我能欣赏这个测试的巧妙之处。

然而，我们关注的却是它被认为"不合时宜"和伤害了感情。攻击者不在乎你的感受，因此那些负责保护公司和员工的人也不能在乎。

这种虚伪令人震惊

被黑客攻击时，你会因策略和团队的失败而受到指责，同时获得有限的资金和支持。努力避免被黑客攻击时，你又会因伤害感情而受到指责。每个人都会支持安全策略，直到感情问题公开化，然后你就不得不撤回策略，仿佛它存在缺陷。

讽刺的是？那些感情受伤、被媒体像避之不及的瘟疫一样抓住的人，正是这类测试所要保护的对象。

顺便说一句，GoDaddy在2020年遭受的最后一次重大入侵就是通过钓鱼攻击实现的。

最终，我们不得不为本不应成为话题的事情被迫道歉。安全领域容不得情感用事。

防范钓鱼攻击的建议

根据互联网安全中心的建议，以下是一些帮助改进在线习惯、增强对钓鱼攻击（和测试）抵抗力的技巧：

• 对所有收到的通信保持警惕。如果看起来是钓鱼通信，不要回复，直接删除。你也可以将其转发给联邦贸易委员会：spam@uce.gov
• 不要点击电子邮件中列出的任何链接，不要打开可疑电子邮件中的任何附件
• 不要在弹出窗口中输入个人信息。合法公司、机构和组织不会通过弹出窗口索要个人信息
• 在电子邮件应用程序和网页浏览器上安装钓鱼过滤器。这些过滤器不能阻止所有钓鱼信息，但会减少钓鱼尝试的次数

从美国网络安全与基础设施安全局了解更多关于钓鱼攻击的信息。

发布于安全栏目， tagged 战略思维