社交媒体过度分享的代价:企业如何防范鱼叉式网络钓鱼

本文探讨了员工在社交媒体上过度分享工作信息如何成为网络攻击的入口。详细分析了攻击者如何利用LinkedIn、GitHub等平台获取情报,并发动鱼叉式网络钓鱼和商业电子邮件入侵攻击,同时提出了通过教育、政策和技术措施来降低风险的具体策略。

过度分享并非关怀:员工在线发布过多内容将带来何种风险?

从LinkedIn到X,从GitHub到Instagram,分享与工作相关的信息机会众多。但发布这些内容也可能让你的公司陷入麻烦。

“员工倡导”这个概念已经存在了十多年。最初,这是一种善意的、旨在提升企业形象、展示思想领导力和进行营销的方式,但也带来了一些意想不到的后果。当专业人士发布关于他们的工作、公司和角色的内容时,他们希望接触到志同道合的专业人士、潜在客户和合作伙伴。但威胁行为者同样在关注。

一旦这些信息进入公共领域,就常被用来构建极具说服力的鱼叉式网络钓鱼或商业电子邮件入侵(BEC)攻击。信息越多,发生恶意活动的机会就越大,最终可能让你的组织遭受重创。

你的员工在哪里分享?

分享此类信息的主要平台是那些老面孔。LinkedIn也许是最明显的。它可以被形容为世界上最大的开放式企业信息数据库:一个名副其实的宝藏,包含职位头衔、角色、职责和内部关系。招聘人员也会在这里发布职位列表,这些列表可能会过度分享技术细节,这些细节随后可能在鱼叉式网络钓鱼攻击中被利用。

在网络安全领域,GitHub可能更出名的是,心不在焉的开发人员会在这里发布硬编码的密码、IP和客户信息。但他们也可能会分享一些看似无害的信息,比如项目名称、CI/CD流水线名称,以及他们正在使用的技术栈和开源库信息。他们还可能在Git提交配置中分享公司电子邮件地址。

此外,还有经典的面向消费者的社交平台,如Instagram和X。员工很可能在这些平台上分享他们参加会议和其他活动的旅行计划,这些信息可能会被用于针对他们及其组织的攻击。甚至你公司网站上的信息也可能对潜在的欺诈者或黑客有用。想想看:关于技术平台、供应商和合作伙伴的详细信息,或重大企业公告(如并购活动)。所有这些都可能为复杂的网络钓鱼攻击提供借口。

相关阅读:你的LinkedIn个人资料是否透露了太多信息?

信息武器化

典型社交工程攻击的第一阶段是情报收集。接下来是在鱼叉式网络钓鱼攻击中将这些情报武器化,旨在诱骗收件人无意中在其设备上安装恶意软件。或者可能诱骗他们共享公司凭据以获取初始访问权限。这可以通过电子邮件、短信甚至电话来实现。或者,他们可能会利用这些信息在电子邮件、电话或视频通话中冒充高管或供应商,要求紧急电汇。

这些企图通常需要结合冒充、紧迫感和相关性。以下是一些假设的例子:

  • 攻击者找到了A公司一名IT部门新员工的LinkedIn信息,包括其核心角色和职责。他们冒充一家关键的技术供应商,声称需要紧急安全更新,并提及目标的姓名、联系方式和角色。更新链接是恶意的。
  • 威胁行为者在GitHub上找到了两名同事的信息,包括他们正在进行的项目。他们冒充其中一人向另一人发送电子邮件,要求其审阅附带的文档,而该文档被植入了恶意软件。
  • 欺诈者在LinkedIn或公司网站上找到了高管的一段视频。他们从该目标的Instagram或X动态中看到他将要出席一场会议并离开办公室。知道该高管可能难以联系,他们利用视频或音频发动深度伪造BEC攻击,诱骗财务团队成员向一个新供应商电汇紧急资金。

警示故事

以上只是假设。但现实中存在大量威胁行为者在攻击初期使用“开源情报”(OSINT)技术的真实案例。其中包括:

  • 一次使亚特兰大儿童医疗保健中心(CHOA)损失360万美元的BEC攻击:威胁行为者很可能仔细搜索了关于新宣布院区的新闻稿,以获取更多细节,包括医院的建筑合作伙伴。然后他们会利用LinkedIn和/或公司网站来识别该建筑公司(JE Dunn)的关键高管和财务团队成员。最后,他们冒充CFO向CHOA财务团队发送电子邮件,要求他们更新JE Dunn的付款信息。
  • 与俄罗斯有关的SEABORGIUM组织和与伊朗结盟的TA453组织在针对预先选定目标的鱼叉式网络钓鱼攻击之前,使用OSINT进行侦察。据英国国家网络安全中心称,他们使用社交媒体和专业社交平台来“研究目标人物的兴趣,并识别他们在现实世界中的社交或专业联系人”。一旦通过电子邮件建立了信任和融洽关系,他们就会发送链接以窃取受害者的凭据。

停止分享?如何降低鱼叉式网络钓鱼风险

过度分享的风险是真实存在的,但幸运的是,补救措施很直接。你手中最有效的武器是教育。更新安全意识计划,确保所有员工,从高管到基层,都理解在社交媒体上不过度分享的重要性。在某些情况下,这需要谨慎地重新平衡优先级,不再不惜一切代价追求员工倡导。警告员工避免通过未经请求的私信分享信息,即使他们认识该用户(因为其账户可能已被劫持)。并确保他们能够识别网络钓鱼、BEC和深度伪造的企图。

为此,应制定严格的社交媒体使用政策,明确界定可以分享和不可以分享内容的红线,并在个人与职业/官方账户之间划清界限。公司网站和账户也可能需要审查和更新,以删除任何可能被武器化的信息。

在所有社交媒体账户上启用多因素身份验证(MFA)和强密码(存储在密码管理器中)也应是标准做法,以防职业账户被劫持用于攻击同事。

最后,尽可能监控可公开访问的账户,查找任何可能被用于鱼叉式网络钓鱼和BEC的信息。并对员工进行红队演练,以测试他们的安全意识。

不幸的是,人工智能使得威胁行为者比以往任何时候都更快、更容易地分析目标人物特征、收集OSINT,然后用完美的自然语言制作出令人信服的电子邮件/信息。人工智能驱动的深度伪造进一步扩大了他们的选择。归根结底应该是:如果信息在公共领域,请预期网络犯罪分子也知道了它……并且很快就会找上门来。

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次