由于有了社交网站,现在很容易就能找到企业内的主要目标,向他们发送信息,并在信息中夹杂着一颗毒药,例如恶意软件附件,或恶意网页链接。但这这还不是全部。我们发现有越来越多的攻击是通过电话进行的,而对方的口音听起来就像是承揽了大部分呼叫中心外包业务的印度血汗工厂中的人打来。
我们在英国的办公室前台曾经就接到了大量这样的电话。幸运的是,她本身就在信息安全公司上班,有着信息安全方面的意识,因此她没有透露任何有关我们工作人员的信息。另外请问问自己,你们公司关于社交网站的规定是什么?有这样的公司规定吗?如果有的话,有没有明确规范公司的什么信息可以被分享?你是否曾经举办过有关社交媒体威胁方面的扫盲活动,并教育员工,关于泄漏信息或是点击社交网站上链接可能导致的负面影响吗?
你肯定不会想停止使用社交网站。它们能带来一定的好处,但就跟每件很酷的新生事物(和电子邮件相比,社交网站确实是一种新技术)一样,我们需要学习如何管理它。仔细想想,已经有不少用户的声誉出现过负面影响,而造成这种影响的唯一原因就是,他或她成为最新一波恶意链接的受害者,点了一个链接后就自动出现一大堆不雅的帖文。如果在遇到这种情况之后再告诉你的朋友,这些不是有意的,而是恶意软件造成的?太迟了!你在社交媒体上的声誉已经跌落谷底了。
身为信息安全专业人员,我们真的有责任去保护我们公司的资产,而教育和培养用户的认知是关键。同时我们不仅仅要保护公司的声誉,保护员工的声誉也是我们工作的一部分。所以,请开始将相关制度加入到你的企业制度里,然后开始倡导活动,告诉所有员工,在社交网站上执行社会工程学诈骗是多么地容易成功,这主要是因为用户们分享的个人信息实在是太多了。这种攻击主要出现在网络世界中,,利用了人性的弱点。我们总是希望能够信任别人,所以在信息安全方面,我们始终是最薄弱的环节,并且我们也将永远是最薄弱的环节。
这就是生活。