您的计算机文件正在举行的赎金。付钱,或者失去他们。您的银行帐户被清空,所以请点击这里停止它。你的朋友已经死亡,点击该殡仪馆的网站了解更多信息。社会工程打手已经达到了新低点。
社会工程师,那些谁利用人类行为的对数据或浸润企业获得进入罪犯,一度内容施展他们的诈骗之前,欺骗与免费提供或搞笑视频的人。如今,社会工程团伙采取了暗转朝强硬手段,威胁,情绪残酷和可怕的最后通牒。
虽然鱼叉式网络钓鱼活动所使用的电子邮件总数已经减少,被攻击的邮件数量也有所减少,但鱼叉式网络钓鱼活动本身的数量在2013年猛增了91%,根据赛门铁克公司2014年互联网安全威胁报告该片于4月中旬上映。
这些活动的时间比2012年的活动长了三倍,这表明用户意识和保护技术已经促使鱼叉式网络钓鱼者加强了他们的目标锁定和社会工程。赛门铁克还报告说,“现实世界”的社会工程师正在结合虚拟和现实世界的攻击,以增加成功的几率。
在首席黑客Social-Engineer.org哈德纳吉(Chris Hadnagy)发现,这种策略越来越多地应用在企业员工身上。
其中一个谨慎的员工通常会忽略“组都包含恶意附件,发送钓鱼邮件”。
“但是,他们跟随了一个电话,说,‘嗨,这是鲍勃在会计。我刚刚给你一个电子表格的电子邮件。我只需要你打开了真正的快速和检查出来。’这些因素放在一起让你信任他们,并采取行动。”社会工程策略这样的作为入口到最新的互联网诈骗。
1.网络钓鱼与新的致命毒株勒索软件
勒索软件在2013年凭借Cryptolocker引起了企业的注意,该软件会感染运行微软Windows操作系统的电脑,并对其所有文件以及共享服务器上的文件进行加密。然后,勒索者拿着加密密钥索要赎金(约500美元),并用无法追踪的比特币支付。受害者等待付款的时间越长,支付的费用就越高,否则数据就会被删除。
现在,山寨CryptoDefense已在2014年和目标文本,图片,视频,PDF和MS Office文件弹出,并具有强大的RSA-2048的关键,这是很难解开加密这些。它也消灭了卷影副本,这是由许多备份程序使用。
今年2月,北卡罗来纳州夏洛特市的一家律师事务所挺身而出,描述了他们的整个文件服务器是如何被Cryptolocker搅乱的,公司丢失了所有文件。IT团队试图给机器消毒,但计划事与愿违,阻止了解密。他们还试图支付赎金,但为时已晚,因为他们已经篡改了恶意软件。社会工程攻击使用了一封“来自AT&T”的带有恶意附件的电子邮件,它被误认为是来自AT&T电话应答服务的语音邮件。
每周备份一次文件的公司会被这种骗局打个措手不及,往往愿意支付赎金。
“这是付500块钱失去一个星期的工作价值之间的选择 - 也许不止一个人斯图Sjouwerman,安全培训公司的创始人之一说,KnowBe4有限责任公司在清水,佛罗里达州。
Sjouwerman补充说,当骗子在律师事务所的案件中使用了一个假的AT&T地址时,其他电信公司也看到了网络钓鱼诈骗的变种。赛门铁克(Symantec)估计,2013年底,Cyberlocker等勒索软件仅在一个月内就给犯罪分子带来了逾3.4万美元的收入。
根据赛门铁克的数据,在所有鱼叉式网络钓鱼攻击中,雇员少于500人的中小型企业占41%,而2012年这一比例为36%。雇员超过2500人的大型企业在所有目标袭击中占39%,而2012年和2011年这一比例为50%。
该公司副总裁斯科特•格洛克斯(Scott Greaux)表示,中小型企业面临两大挑战PhishMe.com在尚蒂伊,弗吉尼亚州。
“一种感觉是,我没有人们想要的任何东西。第二,他们可能有传统的(安全)工具,但可能落后于时代,即使他们使用的是网络过滤。”
之前,它发生在你身上 - “确保你有备份并测试一个非常定期您的恢复功能,” Sjouwerman说。此外,投资于所有员工安全意识培训。
2. IVR和信用卡信息robocalls
交互式语音应答系统和“robocalls”发挥新的社会工程诈骗寻求信用卡或密码信息的核心作用。坏人偷成千上万的电话号码,并使用robocaller叫不知情的员工。
Sjouwerman说,这是全自动的。
“信息是这样的:‘这是你们的信用卡公司。我们正在检查您的卡上潜在的欺诈性收费。你是不是花了3295美元买了一台平板电视?按1表示是,按2表示否。’”如果这个人回答“不是”,这个脚本就会要求受害者输入他的信用卡号、有效期和安全码。
在某些情况下,员工担心他们公司的信用卡已被破坏,他们可能会惹上麻烦,所以他们一起玩。
他补充说:“雪上加霜的是,他们要求受害者输入手机号码,这样客户服务代表就可以给你回电话,然后他们就会收回费用。”
公司所有者兼首席信息安全顾问克里斯•西尔弗斯(Chris Silvers)表示,虽然骗局似乎是针对消费者的,但将自动电话和IVR相结合的概念也会对企业产生影响CG银咨询在亚特兰大。
“最明显的情况是欺骗从语音邮件系统内部呼叫,要求员工以确认他们的语音信箱密码,可能提示紧急手机号码或类似的东西。”
预防:不要作用于传入robocalls,专家说,不上的来电显示信赖的品牌。在robocall骗局的一个警示信号 - 这将涉及信息从“您的信用卡公司”,但没有说实际名称。
3.鱼叉式网络钓鱼攻击的医疗记录
随着2013年大规模的数据泄露,犯罪分子已经达到了一个点,他们可以抓住的个人身份信息,并开始合并记录 - 包括医疗记录。
例如,一封虚假的电子邮件看起来像是来自你的雇主及其医疗保健提供商,声称他们已经对你的医疗保健计划做出了一些更改。他们为有你这么多孩子的客户提供优惠保险费率。然后,他们邀请电子邮件读者查看一个链接,这个链接看起来像是进入了健康保险公司的网页。
Sjouwerman说:“因为邮件中有读者的个人信息,所以很有可能一次点击就能渗透到公司系统中。”
4.网络钓鱼与葬礼
也许一个新的低 - 社会工程团伙被抓派人钓鱼,似乎是从殡仪馆告诉读者,你的亲密朋友的去世和下葬仪式是在此日期电子邮件。他们已经渗透和破坏殡仪馆的网站上,这样的时刻,被攻陷的网站上关注的朋友点击他们重定向到一个坏家伙的服务器。
Hadnagy证实了这一社会工程骗局是可悲的,但却是事实。A“有此成功使用的几个故事。人们点击并获得加载漏洞利用工具包或骗子收获资格证书”。
在这个假网站上,坏人会迅速投放一个恶意软件,随着时间的推移,这个恶意软件会获取大量的键盘记录程序和其他信息。它也滴一个木马,计算机刚刚成为一个僵尸能够执行邪恶的行为,如攻击其他计算机和发送垃圾邮件。
底线 - 想你在情感行动之前,Greaux说。
“通常情况下,[骗子]动机就是恐惧,贪婪或好奇。如果你发送10封电子邮件[或来电,]机会是1出的收件人将是由情感,他们正试图利用激励的10“。
这个故事,“四个最新(和最低)的社会工程骗局”最初发表于方案 。