黑客自述:他们如何通过你的社交动态,威胁企业安全

时间:2019-07-23 来源:www.australianvisaexpo.com

优德w88官方登录

Hunt cloud network 2天前我要分享

image.php?url=0MZxwvgCBh

[狩猎云] 7月12日报道(编译:罗斌杰)

编者按:原作者Stephanie“Snow”Carruthers是小发猫X-Force Red的首席人员黑客,这是一个精英黑客团队,雇用他们在坏人面前找到自己的安全漏洞。

小发猫X-Force Red的首席黑客Stephanie“Snow”Carruthers向我们展示了黑客如何通过社交动态共享轻松访问公司的数据。

在与社交媒体分享照片之前,您必须先考虑三次,特别是如果您的办公室中有自画像,第一天的员工卡或工作照片。

黑客正在社交媒体上搜索照片,视频和其他线索,以帮助他们更好地锁定您的公司。我很清楚这一点,因为我就是其中之一。

幸运的是,我现在被邀请拯救被黑客入侵的受害者。我的名字是Snow,我是小发猫X-Force Red黑客精英团队的成员。该公司雇用我们在实际被黑客入侵之前找到安全漏洞。对我而言,这意味着我需要在互联网上搜索信息,欺骗员工在手机上泄露信息,甚至假装闯入你的办公室。

社交媒体上的帖子是我们从攻击细节中获得的信息来源。我们特别注意到你在照片背景中泄露的内容从安全传递到笔记本电脑屏幕,甚至带有密码的便签。

没有人想成为社交媒体安全漏洞的受害者。因此,让我解释看似无害的帖子如何帮助我或针对贵公司的恶意黑客。

您可能会惊讶地发现,我发现75%的案例来自实习生或新员工。今天进入职场的年轻一代正在社交媒体环境中成长,实习或新工作是令人兴奋的更新。此外,公司经常在雇佣他们几周或几个月后开始培训新员工,因此在此之前,他们很容易成为意外披露公司信息的受害者。

了解这个弱点,加上一些特定的动态标签,比如在你最喜欢的社交应用上查找#firstday,#newjob或#intern + [#companyname]标签的帖子,这样我就可以在几个小时内获得它们了解很多您需要的信息。

那么,我想在这些帖子中寻找什么?黑客可以使用四种特定类型的低安全性社交媒体帖子来实现他们的目标。

发布您和您办公室女友的照片,无论是在午休时间,社交活动还是其他情况下,这些照片可能包含的信息比您想象的要多。想想办公室公共区域张贴的海报或白板。关于“团队的垒球联赛即将开始”的海报意味着如果我发送一封电子邮件,其中包含最新团队时间表的链接,您将不会有任何疑问。相信我,我发给你的链接肯定不是你想点击的。

这看起来似乎很明显,但如果你知道有多少次我看到新员工发布公司安全通行证的特写,特别是在工作的第一天或最后一天,你会感到惊讶。

了解公司员工ID如何重新创建员工卡是一件轻而易举的事。我可以复制,粘贴和打印相同的员工ID,我可以在几分钟内改变自己的面貌。虽然这个员工身份证可能不适合进入公司,但您会惊讶地发现,只需出示员工身份证和自信的笑容,我就可以轻松进入公司大门。

当员工决定在整个公司使用视频博客时,您就是黑客的头号目标。从了解建筑布局和身份保护区域到揭示公司计划的白板,这种类型的视图与在现实生活中进入公司几乎没有什么不同。

不仅如此,笔记本电脑屏幕还显示了我们可以用来创建专门攻击的安全工具和软件类型,这些工具可以通过创建假冒软件更新的自定义恶意软件来创建。

在今天以评论为导向的文化中,即使是你自己的公司也在砧板上。无论是通过Glassdoor,求职网站还是社交媒体网站,了解员工当前的担忧都可以帮助我制作一个满足公司员工抱怨和愿望的网络钓鱼邮件。

例如,我测试的一家公司有很多员工抱怨互联网上的停车位太少,所以我制作了一封电子邮件,解释了新的分配停车政策,并警告所有停在指定停车位以外的地方。车辆将被拖走。工作人员认为最终有一个指定的停车位,并且害怕被拖走,这导致电子邮件中包含的假(恶意)停车地图附件大量点击。

听完这些例子后,你可能想知道为什么黑客想要进入你的办公室。简而言之,在办公室的四面墙内,我们可以获得有关攻击公司的信息,并轻松获得信任和访问权限。从白板上的共享证书到明显的Wi-Fi密码,这些网站打破了我们公司数据与贵公司之间的差距。社交媒体上的帖子甚至可以揭示我们不需要亲自去公司获取信息的足够信息,因为你实际上让我们窥探公司的内幕。

因此,在您点击分享下一篇与工作相关的文章之前,请问自己:“本文中我不想让Snow知道什么?”

收集报告投诉