网络犯罪分子是如何收集信息,使自己处于攻击IT系统的位置?黑客是如何成功地向公司尽可能多的员工发送假邮件的?他们往往通过瞄准安全概念链中最薄弱的环节而取得成功:人。这就是为什么员工知道他们在防止信息安全事件的有效措施中的地位是无比重要的。而且他们必须从一个不同的、更有意识的角度来看待信息安全的风险和机会。关键字:安全意识。绿帽子网总经理Arwid Zang的特邀文章

Loading...

网站就像一本打开的书

众所周知,IT安全和信息安全是两双截然不同的鞋子,但两者的界限仍然会变得模糊不清。很明显,IT安全事件经常导致信息安全事件。当然,如果我是一个入侵企业网络的黑客,我必须坐在屏幕前,抽搐地闭上眼睛,以避免拿起一个或另一个不是为我准备的信息。

然而,也有可能网络罪犯最初收集的信息,从长远来看,使他们能够首先攻击他们选择的受害者的IT系统。

在安全检查平台greenhats.com,我们的日常工作是入侵公司,识别漏洞,并在犯罪分子发现它们之前修复它们。

本着 "有话好好说 "的座右铭,在这篇文章中,我想详细 解释 一种影响所有人的攻击方法。而且,我想和你一起解决这个问题。我为什么要告诉你这一切?

信息安全事件。简单是最危险的

我们谈论的当然是所谓的 "网络钓鱼攻击"--别担心,我会尽量让你免去更多的外来词和IT词汇。我甚至不需要它们,因为网络钓鱼不是一种技术攻击,而是对(几乎)每个安全概念链条中最薄弱环节的攻击。一种对人的攻击。

让我们假设我想攻击你。那么我就不会胡乱地坐在我的笔记本前,开始在黑色的游戏机上打字。不,首先我需要的是......确切地说!信息和个人数据。这包括

  • 贵公司的电子邮件地址
  • 你的IT人员的姓名
  • 电子邮件签名
  • 关于你的企业形象的信息
  • 一个对你的员工来说有趣的话题
informationssicherheitsvorfaelle-zang4streamline-icon-fast-email
Loading...

原则上,网络钓鱼不是一种技术攻击,而是对(几乎)每一个安全概念链条中最薄弱环节的攻击。

对人的攻击。

假设我除了知道你们公司的名字外什么都不知道,我自然会先去网站,阅读并学习所有可以学习的东西。最重要的是,我对你们IT部门的电子邮件地址和联系人感兴趣。因为在下面的攻击中,我想向尽可能多的员工(我需要他们的地址)发送一封假的电子邮件,同时尽可能避免把它也发送给IT部门。

电子邮件地址。钓鱼攻击的 "资本"。

一旦我找到几个电子邮件地址,我就会推导出这个模式。例如,"firstname.lastname@samplecompany.com"因此,我试图盘活员工的电子邮件地址如何从他们的名字推导出来的逻辑。

然后我又去了互联网--这次是去了社交网络。我说的不是像Facebook & Co.这样的 "邪恶 "玩家。XING和LinkedIn要有趣得多。

Loading...

我在那里搜索你的公司,看看哪些人说他们为这家公司工作。这样我就得到了一个名字的列表,我们可以利用确定的模式从中推导出地址。同时,我已经可以从社交网络中的个人资料中看出,你的哪些同事有可能根据他们的专业经验和IT兴趣来识别我即将进行的攻击。

这些同事将不会收到我的任何假邮件。

安全意识。特洛伊木马正式出现了

现在我知道了我的攻击目标,我想把自己冒充成贵公司的员工。要做到这一点,我首先与你取得联系。通过官方渠道,例如作为一个潜在客户。我给你写一封电子邮件,要求你提供报价。你回复我--最好是提供一个产品组合或类似的东西。

你的回复为我提供了有价值的信息。

  • 你的电子邮件签名是什么样子的?
  • 你使用什么字体?
  • 你在文件中把你的标志放在哪里?
  • 你如何突出标题?
  • 你使用什么颜色?
  • 还有,还有,还有...

到目前为止,这并不是火箭科学。但要注意的是--技巧来了。让我们假设你的公司叫 "SampleCompany",在互联网上可以找到 "Samplecompany.com"。然后我现在在互联网上寻找一个地址,这个地址看起来与你的地址非常相似。例如 "samplecompany.eu"。我买下这个地址(其实只花了几欧元),现在可以在上面建立我的攻击。

因为从 "firstname.lastname@samplecompany.eu",我可以发送带有你签名的电子邮件,看起来就像直接来自你。我不在乎我用什么名字或同义词作为发件人,因为从技术上讲,这没有什么区别。

信息安全事件。一个现实生活中的例子

你的业务经理不是你的业务经理

例如,如果我假装是你们IT部门的管理员,这可能真的很危险。我给你和你的所有同事写了一封电子邮件,其中我提请你注意,例如,一个用于远程会议的新的视频门户,在那里所有的员工请认证一次,检查现有的联系人是否已经转移。

或者,当我以总经理助理的身份给你写信,并解释由于大流行病,圣诞晚会被取消了,而是由管理层抽出五部全新的iPhone手机。为了确保每个人最后只中一次奖,请要求每个员工在所附的门户网站上认证一次--然后在12月底宣布获奖者。

假的登录区。数字化时代的儿戏

无论我选择哪种方法--我都必须给你发送一个链接,让你进入上述 "门户"。这可能是 "raffle.samplecompany.eu "或 "portal.samplecompany.eu"。

另外,在这一点上,我可以自由发挥我的创造力。由于我拥有相应的页面,我只需要在那里建立一些对你和你的同事来说看起来值得信赖的东西。在比赛的情况下,例如,一个漂亮的登录区,采用贵公司的设计,有你的标志,也许还有一个小圣诞老人。或者一些流星。

密码最终落入攻击者之手--以纯文本形式出现

当然,安全是我的门户网站的重中之重。所有的东西都被很好地加密了,第三方不可能读取你的输入。毕竟,你输入的是用户名和密码,这是敏感信息。从技术角度来看,这一切绝对是认真的。你的数据被安全地传输,并最终落入最好的手中--我的手中。

顺便说一下,在这样的攻击中,你的密码的复杂性是完全不相关的;它最终会以纯文本形式出现在攻击者那里。而且,请记住,(即使是最小的更复杂的)各种各样的2因素解决方案可以被 "钓鱼",如果我相应地调整我的门户网站。

信息安全。员工是成功的因素

我答应过你,要在最后澄清一个最重要的问题。我为什么要告诉你这一切?答案是。还有谁?

重要的是要明白,我所描述的攻击--从纯粹的技术角度来看--根本就不是攻击。我从一个实际上属于我的地址给你写了一封电子邮件。其中甚至没有附件,更没有恶意软件。你被重定向到互联网上的一个页面,该页面并不试图破坏你的系统。正如我前面所描述的,这个网站也是完全安全的,所有流量都是最佳的加密。

这就是你登录的其他(有信誉的)网站的情况。就像你在LinkedIn或XING输入你的私人密码来验证你的身份一样,你现在也在我的网站上输入它。

Informationssicherheitsvorfaelle-zang5streamline-icon-emaile-search
Loading...

从技术角度来看,钓鱼者不会伪造电子邮件。他们伪造的是你的整个公司。而这正是技术保护措施不起作用的原因。解决方案是识别和防止攻击 - 这取决于你。

重要的是要明白,从技术角度来看,我不是在伪造一封电子邮件。我是在伪造你的整个公司。

而这正是技术保护措施不起作用的原因。解决方案在于检测和预防攻击--而这取决于你。就像采取适当的措施,提高员工在这个方向上的意识。

因为如果我整齐地设置了这个场景,检测攻击只能通过注意到地址的不同来实现,所以在我们的案例中是".eu "而不是你的".com"。我知道,你们中的某一个人现在绝对确信,即使在你们紧张的日常工作中,你们也有必要的概述来做到这一点。因此,我想给你们中更高级的人一点思考的余地。

你是否也能认出 "samplecompany.com "是一个假的?一个小提示:"l "不是一个L,而是希腊字母 "Iota"。对于人的眼睛来说,它们之间没有区别,你的电脑可能会看到它有点不同。我可以向你保证,在我们为公司模拟的所有网络钓鱼攻击中,没有一个客户的员工泄露他们的数据。

万全之策:提高员工对攻击的敏感度

因此,问题不在于你的同事是否会被这种攻击所欺骗。问题更多的是有多少员工会认识到这种攻击,他们会以多快的速度向IT部门报告,以及IT部门有多少时间来应对。

这正是员工在安全意识方面成为更多信息安全和IT安全的成功因素的地方。

我不想成为那些把自己的策略藏在心里,享受这种攻击的灾难性结果的白客之一。我更想和你一起做出贡献,使你的公司更安全一些。

现在轮到你了。我刚才向你描述的只是一个例子,在许多方面,人们和他们有时对信息的疏忽处理可以被利用,并被用来作为攻击者获利。IT部门只能在有限的范围内防止这种情况的发生,或者根本不可能,这就是他们的工作。自己想办法攻击,想想如何劫持你的同事,让它成为(虚拟)午餐桌上的一个话题。

ISO 27001:意识是措施目录的一部分

然后,让你的公司定期接受测试,让意识成为安全计划的一部分。从字里行间看,你也会在国际公认的信息安全管理系统(ISMS)标准中发现这一点。

例如,ISO/IEC 27001要求你确保意识,从而使链条中最薄弱的环节对如何处理你公司的信息有敏感认识(7.3章和附件7.2.2)。这要从电子邮件地址这样简单的事情开始。其他监管或法律要求,如GDPR,也针对避免事件的预防方法。

"根据ISO 27001的ISMS定义了确保公司中值得保护的信息安全的要求、规则和方法。该标准提供了一个引入、实施、监测和改善保护水平的模型。其目的是识别公司的潜在风险,对其进行分析,并通过适当的措施使其可控。ISO 27001制定了这种管理系统的要求,作为外部认证过程的一部分进行审核。该标准可从ISO网站获得。"

通过提高认识的措施来满足标准的要求,例如指南、培训、关于正在进行的新闻的沟通,甚至是模拟的网络钓鱼攻击,就像我们为客户做的那样。还有。对自己诚实一点,问问自己,你以前的培训措施在为我刚才所说的那种紧急情况做准备方面有多成功。

Man and a woman with a laptop in a server room
Loading...

ISO 27001 - Questions and answers

有价值的信息是当今的黄金--因此也是你公司需要保护的资产。ISO 27001有许多解决方案。

信息安全事件通常意味着混乱

当我们谈到诚实的话题时:对于网络攻击所引发的信息安全事件,你究竟会如何应对?诚然,被动安全的话题总是让人有点不舒服,但这是应该被谈论的事情。

人们喜欢把它想象成火警演习--在工作时间的某个时刻,铃声突然响起,每个人都有秩序地、平静地离开大楼,在外面等一会儿,和同事们聊一聊天气,过了一会儿,大家被允许回来,在路上可以喝杯咖啡。

但事实并非如此。

我的团队已经与几家发生过攻击事件的公司取得了联系,我可以向你保证。它是混乱的。甚至在实际事件发生的几天后。除其他原因外,这是因为现代黑客利用了他们受害者的傲慢。

informationssicherheitsvorfaelle-zang2streamline-icon-mail-attention
Loading...

让意识成为你安全概念的一部分,让你的公司定期接受测试。从字里行间可以看出,在国际公认的信息安全管理系统标准ISO 27001中,你也会发现这一点。

我想向你解释这一点,所以让我们回到我们的网络钓鱼攻击。假设我,作为攻击者,设法用你同事的密码远程连接到他们的IT系统。你认为我不知道你们公司有人注意到这里有一次攻击并向IT部门报告吗?最好的情况是,你亲自做,我完全知道。

信息安全事件。进入你系统的后门

这就是为什么我做了两件事。第一,我做一些明显的事情,让你的公司恼火,让你有事可做。例如,我以你同事的名义向你的客户发送垃圾邮件。这很突出,让你和你的IT部门有事情可做。现在你可以把你所有的应急计划从柜子里拿出来,和你的IT代表一起把信息安全事件处理得绘声绘色。包括复杂的营销措施,将被破坏的形象擦亮到一个新的高光泽度,也许让你作为一个 "幸存者 "看起来比以前更好。专业人士可以做到这一点。

但与此同时,作为一个攻击者,我正试图为一个系统设置一个后门,而你的IT部门在所有的喧嚣中不会注意到。这就像进入一家珠宝店,打翻最大的陈列柜,在大家都在扑向破碎的碎片时,偷偷地把所有昂贵的戒指和手表放进我的口袋。

不用说,如果你不知道你在找什么,我的后门是极难找到的。然后我就什么都不做了。几个星期,几个月。

"我通过你的网络,悄悄地工作。我散开--我等待......"

现在,我正试图以我的方式穿过你的公司网络,悄无声息地工作。没有任何 "嘈杂 "的软件扫描器,这将耗尽你的网络并提醒你的安全系统。完全手动,准老式的。顺便说一下,这就是黑客方面的麦子与糠秕的区别。如果你的网络只是在测试场景中暴露在安全扫描器面前,现在对你一点帮助都没有。我散开,我等待--耐心地等待。我试图确定何时以及如何进行备份,谁与谁进行沟通,以及你的组织在哪里最敏感。在我们的例子中,我可能在晚上做这件事--或者至少是在核心工作时间之后,那时我更不可能被观察到。当然,我每天都会掩盖我的踪迹。

informationssicherheitsvorfaelle-zang3streamline-icon-folder-search
Loading...

主动的IT安全措施,尤其是明显的安全意识,是任何公司IT安全概念中最重要的基石。然而,一个完善的安全意识还包括了解它可能发生在你身上。如果这种情况发生,你应该做好准备。

然后--几个月后--发生了大的信息安全事件。对你的公司来说完全是突如其来的。例如,我然后使用众多加密木马中的一个来勒索你。然而,"巧合的是,"由于我的前期工作,它在最高权限下运行,绕过了你的安全措施,并首先传播到了拥有你最相关文件的系统。而且,如果在我所有的时间里,我注意到了你的备份系统的一个弱点...就像我说的,一片混乱。

缺少意识:完美的目标攻击

是的,我们仍然在我们的例子中,但这决不是好莱坞。这是一种常见的做法,也是我们仍然经常听到和读到公司与这种加密木马斗争的一个关键原因。几年前,这些东西或多或少地在互联网上被释放出来,只有羊群中最弱的羊才会成为它们的受害者:那些外部技术安全薄弱的公司。

今天情况不同了。员工的缺乏意识被用来针对公司,只有当受害者被完全控制时才会部署自动攻击软件。

我仍然认为,主动的IT安全措施,特别是强烈的安全意识,是任何公司的IT安全概念中最重要的基石--简直有太多的例子和具体案例可以证明这一点。然而,一个完善的安全意识还包括了解到有可能受到影响。我把自己也包括在其中。而如果这种情况发生,你应该做好准备。

将发生的概率降到最低

我在发言中特意加入了火灾警报的例子。这为公司做好了准备,以应对尽管采取了所有的积极措施,但确实发生了火灾的情况。有些公司对于信息安全事件和IT安全事件也有类似的东西。如果这对你来说有点过犹不及(这真的总是取决于公司在每个个案中的情况),我仍然有一个提示给你。

如果你实施渗透测试或其他攻击模拟作为你主动安全措施的一部分,不要满足于简单地修复你发现的漏洞。总是要问这样的问题。这个漏洞在过去是否被利用过?是否已经安装了后门?

"不要停止问问题。"

或者,换一种方式,以实际信息安全事件的严肃性对待每一个 "发现"。这样,你就可以把发生的概率降到最低,同时也让你的反应性安全计划--我真诚地希望你永远不需要--经受考验。就像火警警报一样。

所有这些都是意识的一部分,同时也只是整体的一部分。然而,有了这个重要的组成部分,当我问道:"如果我明天用心去做,我能抓住你的错误吗?"时,你可以希望地对我微笑。希望如此。

fragen-antwort-dqs-fragezeichen auf wuerfeln aus holz auf tisch
Loading...

Gern beantworten wir Ihre Fragen

认证 你的信息安全管理系统时,你要估计到什么样的努力?了解一下,没有义务,免费。我们期待着与您交流。

信任和专业知识

我们的文本和手册是由我们的标准专家或具有多年经验的审核员独家撰写的。如果您对文本内容或我们对作者的服务有任何疑问,请随时联系我们。

作者
Arwid Zang

Managing Director of the security platform "greenhats". IT security specialist, trainer and author specializing in white-hacking, awareness training, information security and proactive hardening of IT systems.

Loading...