情感在安全领域无立足之地

作者：Tony Perez | 2020年12月29日

危害组织最快且最有效的方式是社会工程学攻击。在数字领域，社会工程学几乎总是与某种形式的钓鱼攻击同义。
最简单的钓鱼攻击是通过诱饵吸引受害者以达到某种目的的行为。
想象钓鱼的过程：你将蠕虫挂在鱼钩上，抛入水中等待，最终一条饥饿的鱼会说“嘿，看这里，晚餐……”，它上钩了，就像魔术一样，你钓到了鱼。

钓鱼的世界

随着安全性的提升，钓鱼对恶意行为者变得愈发重要。随着物理网络消失、组织转向云端，钓鱼攻击日益突出。
原因很简单：钓鱼利用了安全行业自始至终难以应对的漏洞——人性因素。
钓鱼通常被认为来自电子邮件，但这只是其中一种媒介。钓鱼已演变为可来自社交媒体、语音平台等多种渠道。
人性漏洞并非完全归咎于人。人类是习惯的动物，而科技公司引入的习惯与安全领域的做法背道而驰。
以下几点说明了钓鱼攻击为何如此有效：

• 链接的设计初衷就是被点击；
• 文件的设计初衷就是被打开；
• 技术有意模糊信息的来源细节，大公司的思路是“不要用用户不关心的信息淹没他们”；
• 技术允许我们利用颜色、样式等元素吸引用户参与（各种规模的公司都有专门团队负责这种形式操纵）；
  而现在，又多了一个新障碍——不要伤害员工的感情。

恶意行为者不关心情感

在我们生活的荒谬世界中，情感竟成了关于保护组织安全的讨论的一部分。
我们不是在讨论员工受到虐待、攻击或不公正待遇，而是在讨论模拟恶意行为者策略的测试中，员工因测试“不合时宜”而感到被冒犯。
例如，2020年圣诞节期间，GoDaddy决定运行一项测试，提供奖金替代节日聚会。测试内容如下：
（此处省略具体测试内容，因用户要求仅翻译技术相关部分）

该测试的巧妙之处在于：

• 模拟了GoDaddy可能为其他活动发送的电子邮件；
• 利用了每个人可能最关心的事情——没有节日聚会（GoDaddy曾以此闻名，且深入人心）；
• 间接呼应了疫情现状——“我们无法相聚”；
• 也呼应了经济状况——到处资金紧张，我们希望改善；
• 安全团队站在恶意行为者的角度思考——“他们会怎么做？”；
  我可以欣赏这种测试的巧妙之处。
  然而，我们关注的却是它被认为“不合时宜”且伤害了感情。恶意行为者不关心你的感受，因此，负责保护公司及员工的人也不能关心。

虚伪令人震惊

被黑客攻击时，你会因策略和团队的失败而受到指责，同时获得有限的资金和支持。努力避免被黑客攻击时，你又会因伤害感情而受到指责。每个人都会支持策略，直到感情问题公开，然后你必须撤回策略，仿佛它存在缺陷。
讽刺的是？那些感情受伤、被媒体像避之不及的人，正是这类测试所要保护的对象。
顺便一提，GoDaddy在2020年最后一次重大入侵是通过钓鱼攻击实现的。
最终，我们不得不为本不应成为话题的事情被迫道歉。情感在安全领域无立足之地。

防范钓鱼攻击的技巧

根据互联网安全中心的建议，以下是一些改善在线习惯、增强对钓鱼攻击（及测试）抵抗力的技巧：

• 对所有收到的通信保持警惕。如果疑似钓鱼通信，不要回复，直接删除。你也可以将其转发给联邦贸易委员会：spam@uce.gov。
• 不要点击电子邮件中的任何链接，不要打开可疑邮件中的附件。
• 不要在弹出窗口中输入个人信息。合法公司、机构和组织不会通过弹出窗口索要个人信息。
• 在电子邮件应用和网页浏览器上安装钓鱼过滤器。这些过滤器无法拦截所有钓鱼信息，但会减少钓鱼尝试的次数。
  了解更多关于钓鱼的信息，请访问美国网络安全与基础设施安全局。

发布于安全栏目，标签为战略思维。