安全专业人士也会上当的钓鱼邮件
作者:星期六, 八月 13, 20160

近期召开的黑帽大会上,一名IT专家就黑客使用诈骗邮件的最有效方式进行了演讲,最令人惊讶的发现是:即使深知所有花招的高手,也会落入邮件陷阱。

辛奈达·贝嫩森博士呈现了她对网络钓鱼攻击的两项研究结果——即便不认识发信人,人们也常常会点击其中的“毒”链接或运行其中包含的恶意软件。

640-13

辛奈达·贝嫩森博士

而且,即便是具备计算机知识,清楚未知链接暗藏危险,深知邮件发送地址可被伪造的那些人,照样跳坑没商量。博士的研究发现,所有这些因素都“没什么卵用”。

我们知道,人类本身就是最大的漏洞,他们总是掉进同一个坑。

贝嫩森是埃朗根纽伦堡大学教授,领导“安全和隐私中的人类因素”研究小组,并通过电子邮件和Facebook模拟网络钓鱼攻击,对大学生进行了两项独立研究。

第一项研究所用电子邮件看起来像这样:

640-14

第一个研究中,45%的人点击了连接,第二个研究中,只有20%的人点了。这巨大的差异,源于第二轮钓鱼实验的电子邮件没用名字称呼收件人。

大多数人称,好奇心是点击背后的原因——尽管相信自己的电脑或学校会保护他们的人为数不少。

“我的电脑会屏蔽有病毒问题的访问。”一名学生这么告诉研究人员。

“我使用火狐浏览器和MacOS系统,所以我不惧病毒。”另一名学生如是说。

甚至贝嫩森自己的好奇心,也让她用自己给观众呈现了绝佳案例。一个案例中,她收到一封宣称自己是CNN记者的人发来的电子邮件,里面附上了一个通往他工作内容的链接。贝嫩森教授为自己能跟记者对话而兴奋不已。

640-15

“你觉得我干了什么?”她问听众,“我点击了。”

让她掉坑的不只这一个,比如说下面这个:

640-16

贝嫩森的研究突出了人们在试图保证上网安全的时候遇到的最大问题。尽管过去十年间安全意识训练渐受重视,且重大黑客事件不断提醒人们注意网络安全,仍有超过90%的针对性攻击都是从通常会成功的鱼叉式网络钓鱼邮件开始的

贝嫩森建议公司企业应用“报告”功能来标记可疑邮件,或者使用数字签名(虽然这些依然会被决意攻击的黑客攻破)。然而,其他人建议,要用技术性解决方案来攻克贝嫩森的研究所发现的“好奇心”安全漏洞。

Cylance首席安全和信誉官就说过:“用户不是问题,是技术上的失败才保护不了用户和计算机设备。”

 

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章