高开180%市值超130亿,“宁王”收获一个IPO
高开180%市值超130亿,“宁王”收获一个IPO
携程Q3大“赚”,但还能更“赚”
携程Q3大“赚”,但还能更“赚”
较劲的Q3:乐观者李斌,“史上最强”何小鹏,李想开上法拉利
较劲的Q3:乐观者李斌,“史上最强”何小鹏,李想开上法拉利
捷豹重生改命,LOGO大变样,马斯克:你们还是卖车的吗
捷豹重生改命,LOGO大变样,马斯克:你们还是卖车的吗
立即打开APP
Apollo
私信
0

黑客自述:他们如何通过你的社交动态,威胁企业安全

2019-07-12
75%的情况下,我发现的信息来自实习生或新员工。

【猎云网(微信号:ilieyun)】7月12日报道(编译:罗彬杰)

编者注:本文原作者Stephanie “Snow” Carruthers是IBM X-Force Red的首席人事黑客,这是一个精英黑客团队,公司雇佣他们在坏人之前发现自己的安全漏洞。

IBM X-Force Red的首席黑客Stephanie “Snow” Carruthers向我们展示了黑客如何通过你的社交动态分享轻易获得你公司的数据。

在将拍摄的照片分享到社交媒体之前,你一定要三思而后行,尤其是你的办公室自拍、入职第一天的员工证或工作合影。

黑客们正在社交媒体上搜寻照片、视频和其他线索,以帮助他们在攻击中更好地锁定你的公司。我很清楚这一点,因为我就是他们中的一员。

幸运的是,我现在被花钱邀请来解救这些被黑客攻击的受害者们。我的名字叫Snow,是IBM X-Force Red黑客精英团队的一员。公司雇佣我们是为了在真正遭到黑客攻击之前找到安全漏洞。对我来说,这意味着我需要在互联网上搜索信息,诱骗员工在电话里透露信息,甚至伪装自己闯进你的办公室。

社交媒体上的帖子是我们获取攻击细节的信息源泉。你在照片的背景中泄露的东西尤其受到我们的关注——从安全通行证到笔记本电脑屏幕,甚至是带有密码的便利贴。

没有人想成为社交媒体安全漏洞的受害者。因此,让我来解释一下看似无害的帖子是如何帮助我——或者一个恶意的黑客——瞄准你的公司的。

你可能会惊讶地发现,75%的情况下,我发现的信息来自实习生或新员工。如今进入职场的年轻一代是在社交媒体环境中长大的,实习或新工作都是令人兴奋的更新分享。再加上公司往往会在新员工入职几周或几个月后才开始对他们进行安全培训,因此在这之前,他们很容易就会成为不小心泄露公司信息的受害者。

了解这个弱点,加上一些特定的动态标签,比如在你最喜欢的社交应用上寻找带有#firstday、#newjob或#intern+[#companyname]标签的帖子,让我可以在短短几个小时内找到大量需要的信息。

那么,我到底想在这些帖子中寻找什么呢?黑客可以利用四种特定类型的低安全社交媒体帖子来达到他们的目的。

集体照

发布一张你和你的办公室闺蜜的照片,无论是在午餐休息时间,做一些社交活动,或者其他情景,这些照片可能比你想象的包含更多信息。想想在办公室的公共区域张贴的海报或白板。一张关于“球队垒球联赛即将开始”的海报意味着,如果我给你发一封带有最新球队时间表链接的电子邮件时,你不会感到任何怀疑。相信我,我发给你的链接绝对不是你想点击的。

新的员工证

这似乎是显而易见的,但如果你知道我有多少次看到新员工贴出他们公司安全通行证的特写镜头,尤其是在上班的第一天或最后一天,你一定会大吃一惊。

了解一个公司员工证的样子会让重新创建一个员工证变得轻而易举。我可以复制、粘贴和打印一张一模一样的员工证,而且只需几分钟就可以把自己的脸换进去。虽然这个员工证可能并不适用于进入公司,但你会惊讶地发现,对我来说,仅仅是出示一下这张员工证和一个自信的微笑,就能轻而易举地进入一家公司的大门。

日常工作生活

当一名员工决定在公司里整天都用视频博客,你就是黑客的头号目标。从了解建筑布局和标识保护区域,到揭示公司计划的白板,这种类型的视图几乎和在现实生活中进入公司没什么区别。

不仅如此,笔记本电脑屏幕还显示了正在使用的安全工具和软件的类型,我们可以使用这些工具和软件,通过创建伪装成虚假软件更新的定制恶意病毒软件来进行专门的攻击。

投诉信息

在当今以评论为导向的文化中,甚至连你自己的公司都在砧板上。无论是通过Glassdoor、求职网站,还是社交媒体网站,了解员工当前关注的问题,都能帮助我精心制作一封钓鱼邮件,迎合公司员工的抱怨和愿望。

例如,我测试过的一家公司有很多员工在网上抱怨停车位太少,所以我精心制作了一封电子邮件,解释了一项新分配的停车政策,并警告说,所有停在指定车位外的车辆都将被拖走。员工们以为终于有了一个指定的停车位,再加上担心被拖走,这让电子邮件中包含的假的(恶意的)停车地图附件获得了大量点击。

听过这些例子后,你可能会想,为什么黑客会想要进入你的办公室。简而言之,只需在办公室的四面墙之内,我们就能获得攻击公司的相关信息,轻易获得信任和进入的权限。从白板上共享的证书,到显而易见的Wi-Fi密码,这些现场打破了我们与你的公司数据和秘密之间的隔阂。社交媒体上的帖子甚至可以透露出足够多的信息,以至于我们不需要亲自去你的公司获取信息,因为你实际上已经让我们窥探到了公司内幕。

所以,在你点击分享下一篇与工作相关的文章之前,先问问自己:“这篇文章里有什么是我不想让Snow知道的?”

猎云网APP阅读全文

体验更加

猎云网

微信扫码关注猎云网

  1. 猎云网原创文章未经授权转载必究,如需转载请联系官方微信号进行授权;
  2. 转载时须在文章头部明确注明出处、保留官方微信、作者和原文链接,如:转自猎云网(微信号: lieyunjingxuan )字样;
  3. 猎云网报道中所涉及的融资金额均由创业公司提供,仅供参考,猎云网不对真实性背书。
  4. 联系猎云,请加微信号:jinjilei
猜你喜欢
长按图片可以分享给好友
×