企業保護網路環境安全最大的困難點之一,要如何有效的管理和保護多種不同端點設備的複雜性,芬-安全F-Secure Business Suite解決方案。
資訊安全解決方案
什麼是社交工程?企業要如何導入社交工程演練
電子郵件是企業對外最常使用的溝通管道,同時也是有心人士或駭客透過電子郵件竊取公司資料或破壞公司資訊系統,透過時事話題或使用者感興趣的議題引誘員工開啟信件,甚至填寫表單,在不知不覺的情況下,洩漏個人帳密或被植入惡意程式偷竊機密資料而導致企業蒙受財物損失。
社交工程案例1 - 美國勞動部
2022年1月假冒美國勞動部大規模發出的釣魚信件,邀請收信者參與政府標案。
此次社交攻擊事件裡,釣魚信件中勞動部的假網站域名包含:dol-gov[.]com, dol-gov[.]us, bids-dolgov[.]us 等,並非無意義的域名或是以相似的符號代替(例如:以數字1代替英文字 l)。如果沒有特別查證勞動部的網址,很難察覺釣魚網站網址有問題。而點擊信件中的假網址後,受害者會被指示登入 Office 365 的帳號密碼,駭客藉此獲得登入資訊。
社交工程案例2 - Uber
共享乘車與送餐服務大型業者 Uber,於2022年 9 月公司發生內部系統遭駭侵者以社交工程攻擊手法入侵的資安事件。
駭侵者為了取得兩步驟登入驗證密碼,更透過大量發送垃圾通知的手法讓遭駭員工不斷收到推送通知,接著再於 WhatApp 上假冒 Uber IT 人員和該員工對話,進而取得兩步驟驗證碼的存取權。
駭侵者取得兩步驟驗證碼後,隨即進入 Uber 內部網路,同時很快就在其內網的某個檔案中找到許多具有極高權限的登入資訊;立即使用這些登入資訊存取 Uber 內部各項系統,包括產品系統、企業 EDR 控制台、Uber 內部的 Slack 管理介面等。甚至還公開 Uber 各個內部系統的螢幕擷圖,包括內部財務系統的報告畫面,以及 Uber 透過 HackerOne 舉辦漏洞發現懸賞的多份報告。
有鑒於此,回歸到企業資訊人員,要如何提高使用者對於電子郵件的安全意識?
網聯資訊提供了社交工程演練服務,參考關於時事議題,包括:資訊、政治、購物、健康和生活等多種類,透過發送測試郵件至員工信箱,進而測試員工對於郵件的安全意識。並提供統計報表,以協助企業主了解員工的資安意識程度。報表不僅呈現整體統計數據,還提供詳細的分析,
使企業能夠快速識別潛在風險。同時,我們尊重隱私權,確保在測試過程中不洩漏敏感信息,並且所有相關數據都得到妥善保護。對於資安意識較低的員工,我們提供資安意識提升講習課程,以協助員工了解資訊安全的重要性,減少因不慎行為而可能帶來的風險。
社交工程案例1 - 美國勞動部
2022年1月假冒美國勞動部大規模發出的釣魚信件,邀請收信者參與政府標案。
此次社交攻擊事件裡,釣魚信件中勞動部的假網站域名包含:dol-gov[.]com, dol-gov[.]us, bids-dolgov[.]us 等,並非無意義的域名或是以相似的符號代替(例如:以數字1代替英文字 l)。如果沒有特別查證勞動部的網址,很難察覺釣魚網站網址有問題。而點擊信件中的假網址後,受害者會被指示登入 Office 365 的帳號密碼,駭客藉此獲得登入資訊。
社交工程案例2 - Uber
共享乘車與送餐服務大型業者 Uber,於2022年 9 月公司發生內部系統遭駭侵者以社交工程攻擊手法入侵的資安事件。
駭侵者為了取得兩步驟登入驗證密碼,更透過大量發送垃圾通知的手法讓遭駭員工不斷收到推送通知,接著再於 WhatApp 上假冒 Uber IT 人員和該員工對話,進而取得兩步驟驗證碼的存取權。
駭侵者取得兩步驟驗證碼後,隨即進入 Uber 內部網路,同時很快就在其內網的某個檔案中找到許多具有極高權限的登入資訊;立即使用這些登入資訊存取 Uber 內部各項系統,包括產品系統、企業 EDR 控制台、Uber 內部的 Slack 管理介面等。甚至還公開 Uber 各個內部系統的螢幕擷圖,包括內部財務系統的報告畫面,以及 Uber 透過 HackerOne 舉辦漏洞發現懸賞的多份報告。
有鑒於此,回歸到企業資訊人員,要如何提高使用者對於電子郵件的安全意識?
網聯資訊提供了社交工程演練服務,參考關於時事議題,包括:資訊、政治、購物、健康和生活等多種類,透過發送測試郵件至員工信箱,進而測試員工對於郵件的安全意識。並提供統計報表,以協助企業主了解員工的資安意識程度。報表不僅呈現整體統計數據,還提供詳細的分析,
使企業能夠快速識別潛在風險。同時,我們尊重隱私權,確保在測試過程中不洩漏敏感信息,並且所有相關數據都得到妥善保護。對於資安意識較低的員工,我們提供資安意識提升講習課程,以協助員工了解資訊安全的重要性,減少因不慎行為而可能帶來的風險。
-
SHARE
-
TAG
