炫耀听起来像是一种复杂的黑客技术,但实际上要简单得多。 虽然不像其他网络犯罪那样高科技,但如果组织没有做好准备,吹嘘仍然可能造成严重损害。

正在展示什么以及它是如何工作的?

正在展示什么以及它是如何工作的?

图片来源: 自由图

吹牛是指狡猾的诈骗者试图诱骗人们泄露他们不应该访问的机密信息。

这些自吹自擂者会想出任何他们需要的故事来说服他们的目标放弃可能用于身份盗窃、公司间谍或勒索等不正当目的的数据。

那么它到底是如何运作的呢? 以下是一些常见的吹牛技巧:

  1. 冒充:诈骗者冒充其他人,例如同事、银行家或警察。 这会建立信任并增加目标人员分享机密信息的可能性。 例如,他们可能会打电话并冒充需要密码来解决计算机问题的 IT 技术人员。
  2. 制造虚假的紧迫感:诈骗者通过使请求看起来对时间敏感来向目标施加压力。 在目标有时间验证请求的有效性之前,利用关闭账户或采取法律行动的威胁来快速获取信息。
  3. 网络钓鱼:Blagger 使用包含恶意软件的网络钓鱼电子邮件或链接来感染目标系统并窃取数据。 这些电子邮件经过精心设计,看似来自可信来源,以诱骗受害者点击或下载。
  4. USB掉线攻击:这种策略将受感染的、载有恶意软件的设备(例如 USB 驱动器)留在公共场所,目标很可能会在公共场所找到并插入这些设备,从而为攻击者提供访问权限。 对于毫无戒心的人来说,停车场和电梯是很受欢迎的诱惑。
  5. 归因:诈骗者使用合法经理、高管或联系人的姓名,给人留下他们有权访问其他机密信息的印象。 这为他们的阴暗事业增添了可信度。
  6. 哀悼:骗子利用目标的同情心并编造悲惨的故事来操纵他们。 说他们是单亲父母,需要账户里的钱来养家之类的话是可行的。
  7. 赔偿:诈骗者承诺提供赏金、休假或现金以换取信息。 当然,这些都是空洞的承诺,不会让你得到你想要的。
  8. 尾随:吹嘘者身体跟踪员工进入建筑物或禁区以进入。 他们依靠人们为他人敞开大门,或者不质疑他们的存在。
  9. 海拔:Blagger 会尝试进行友好的闲聊,诱骗目标无意中泄露有关系统、流程或漏洞的信息。 它很危险,因为它看起来无害。

最重要的是要记住,这些攻击者是欺骗大师,为了得到他们想要的东西,他们会说或做任何事。

这就是保护自己免受暴力攻击的方法

当吹牛者使用如此多的狡猾手段时,您如何保护自己和您的企业免受此类骗局的侵害? 以下是防御自大攻击的一些关键方法。

验证索赔

不要只相信任何人的表面价值——一定要证实他们的故事。

如果有人打电话说需要技术支持或同事需要信息,请挂断电话并回拨官方号码以确认其合法性。

仔细检查电子邮件地址、姓名和联系信息,确保它们匹配。

验证请求

作为公司的员工,您会关注不寻常的请求,即使它们看起来很紧急或者故事是可信的。 假设您需要将问题上报给经理或通过适当的渠道提交票证。

放慢互动速度,以便您可以在共享敏感信息之前进行进一步调查。

限制帐户访问

企业家应该只为员工提供完成工作所需的最低限度的访问权限,而不能再多了。 为了 example,客户服务代表可能不需要访问财务系统。 这包括帐户泄露时造成的任何损害。

实施最小特权原则可以防止自吹自擂者从欺骗他人中获得太多利益。

报告怀疑

如果某个请求对您来说很奇怪或者故事不合时宜,请随时发表评论。 如果您怀疑任何互动是为了炫耀,请立即通知保安或管理层。

此外,密切监视系统和用户行为是否存在可能表明建议尝试的异常活动。 寻找类似的东西:

  • 尝试访问未经授权的系统或机密数据。
  • 从未知 IP 地址或位置远程登录。
  • 大量数据向外传输。
  • 典型用户模式中的异常情况,例如运行新流程或不寻常的工作时间。
  • 禁用安全工具,例如防病毒套件或登录提示。

越早检测到异常行为,专家就能越快地调查和缓解潜在的可疑攻击。

安全意识培训

训练有素的员工更难被吹牛者愚弄。 继续教育加强了人类的防火墙,使人们能够 Social 自信地停止工程。

当员工知道如何智胜自吹自擂的策略时,公司就会获得巨大的优势。 培训应包括现实世界的例子和场景,以便员工可以练习适当的反应。 使用模拟的网络钓鱼电子邮件和意外访客来测试他们,看看他们的反应。 它还应该解释常见的吹牛技巧,例如诡计、网络钓鱼和交换条件。 员工越了解战术,就越能发现战术。

教您的员工如何根据政策正确验证请求、验证身份、报告事件以及处理敏感数据。 提供有关预期行动的明确说明。 通过使用引人入胜的视频、互动模块和竞赛来保持有趣,以保持对安全的关注。 定期更新培训。

并确保高层领导出席,以展示组织对提高认识的承诺。

使用多层安全性

依靠多个重叠的安全控制而不是单点故障。

您可以实现的层包括:

  • 物理安全控制措施,例如身份证、安全设施和闭路电视,以防止拥堵和未经授权的进入。
  • 防火墙、IPS 和 Web 过滤器等外围保护可防止已知威胁和有风险的网站进入您的网络。
  • 具有防病毒功能的端点安全, 端点检测和响应和加密以防止安全漏洞并使数据盗窃更加困难。
  • 电子邮件安全,通过网关过滤恶意电子邮件,并通过沙箱隔离威胁。
  • 多重身份验证和基于角色的权限等访问控制可防止帐户滥用,即使凭据遭到泄露也是如此。
  • 数据丢失防护工具可防止敏感数据的大量传输。

吹牛者面临的障碍越大,他们被发现的可能性就越大。

谨防炫耀

虽然吹嘘往往是针对公司的,但每个人都容易受到伤害。 我们任何人都可能会被冒充技术支持、银行代表甚至需要帮助的家庭成员的诈骗者打来的看似无害的电话或电子邮件所欺骗。 这就是为什么我们需要学习所有的吹牛技巧并知道如何识别警告信号。

如果您是企业家或经营企业,请不要低估这种威胁。 通过广泛的安全意识培训和分层技术防御,您可以阻止这些诈骗者。

有了正确的安全措施,吹牛者就没有机会。