钓鱼和社会工程学攻击看起来技术含量不高,但每年的数据泄露事件中都有相当一部分是以一封钓鱼邮件作为起点的。攻击者不需要发现0day漏洞,他只需要让一个员工点击一个链接或者输入一次密码。看起来很简单,但成功率一直很高,这是为什么它至今仍然是攻击者最常用的手段之一。员工的安全意识高低直接决定了这种攻击方式的成功率,而企业安全培训的实效性也因此变得至关重要而不可忽视。

故事:有一家大型企业的员工收到一封伪装成公司IT支持中心的安全通知邮件。邮件内容说公司邮件系统近期遭受了攻击,要求所有员工在当天内登录指定链接进行密码重置。邮件的语气非常正式,Logo和签名都仿制得很像,甚至还抄袭了公司IT支持部门的真实邮件模板。公司里有超过一半的员工按照邮件指示点击了链接,在一个看起来和公司登录页面完全一样的钓鱼网站上输入了自己的用户名和密码。攻击者收集到这些凭证后立刻登录了公司的内部系统,开始搜索和窃取他们想要的数据,包括公司最新的研发方案、客户名单和财务报表等核心商业机密。这家公司事后花了大半年时间才从这次攻击中恢复过来。

泄密链路分析:攻击者首先要对公司内部结构做信息收集,确定IT部门的名称、内部沟通习惯和邮件格式。然后搭建一个看起来和公司内部页面一模一样的钓鱼网站。编写一封具有紧迫感的邮件推送给目标员工,很多员工因为害怕账号被停用会不假思索地点击链接并输入凭证。攻击者实时收集输入的凭证,利用这些合法凭证登录公司系统。在内部网络中进行横向移动寻找高价值数据,利用收集到的权限窃取商业秘密和客户数据。整个过程可以在几小时内完成,速度非常快,让受害者公司措手不及。等到公司反应过来,数据已经流出了。

警示:钓鱼和社交工程攻击是防不胜防的,但有几条铁律可以帮助降低风险。任何要求输入密码或点击链接的邮件都要通过其他渠道二次确认。IT支持部门不会通过邮件链接要求你输入密码,这是基本的安全常识。企业应该定期做钓鱼模拟测试,提高员工的安全意识。部署多因素认证,即使凭证被窃取也无法直接登录系统。设置异常登录行为的检测机制,如在非工作时间从异地IP地址登录要触发警报。钓鱼技术看起来简单但效果一直很好。你的防火墙可以挡住大部分注入攻击,但挡不住一个员工因为好心而点击了一个链接。每一个员工都是网络安全防御链的一环,也是比较脆弱的一环。安全培训不是走过场,它是真正能救命的事,不能只停留在形式上,要深入到每个员工的日常习惯中去。