很多信息安全专家认为,如果老练的攻击者瞄准企业内一个高价值的人作为鱼叉式网络钓鱼攻击的一部分,鉴于当今的安全控制、流程以及对于攻击如何发生的安全意识,这名攻击者应该会成功。 CloudFlare公司的首席执行官证明了这一点。让我们简单地回顾一下,CloudFlare公司使用谷歌的Gmail账户来登录Google Apps,用以管理CloudFlare产品中的客户数据。通过一系列预先计划的活动,攻击者获取了对这名首席执行官账户的控制,并发起攻击,最终成功获取了CloudFlare的一名客户的信息。
毫无疑问,这对于任何企业而言,都是最糟糕的情况。 用户账户安全:错误和最佳做法 攻击者的……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
很多信息安全专家认为,如果老练的攻击者瞄准企业内一个高价值的人作为鱼叉式网络钓鱼攻击的一部分,鉴于当今的安全控制、流程以及对于攻击如何发生的安全意识,这名攻击者应该会成功。
CloudFlare公司的首席执行官证明了这一点。让我们简单地回顾一下,CloudFlare公司使用谷歌的Gmail账户来登录Google Apps,用以管理CloudFlare产品中的客户数据。通过一系列预先计划的活动,攻击者获取了对这名首席执行官账户的控制,并发起攻击,最终成功获取了CloudFlare的一名客户的信息。毫无疑问,这对于任何企业而言,都是最糟糕的情况。
用户账户安全:错误和最佳做法
攻击者的第一步是获取该CEO的Gmail账户信息,这不仅让他或她可以控制该CEO的电子邮件,而且还可以通过简单的登录,获得对其Google Apps工具的控制。很显然,这名CEO使用了简单的电子邮件地址,用于外部通信以及访问Google Apps账户。大多数企业在其企业网站中公布了其高管的名字,并且大多数企业使用与名字相关的简单的电子邮件地址(例如jsmith@gmail.com或者john.smith@gmail.com),攻击者只需要向这些名字变体地址发送一些钓鱼电子邮件,就可以确定他或她的电子邮件地址。这也是获取该账户控制权的第一步。
我们可以通过两种方法来阻止这种用于确定电子邮件账户名称的鱼叉式网络钓鱼攻击。由于所有企业邮件系统都有“白页”或者某种形式的目录,企业不需要内部员工知道互相的电子邮件地址。因此,企业应该采取的更好安全控制是:使用与实际用户名字不太相关的电子邮件地址。例如,使用员工名字的缩写,并在后面添加四个或五个随机数字(例如jps29581@gmail.com),这样的话,鱼叉式钓鱼攻击几乎不可能成功。对于使用电子邮件地址作为访问企业数据(例如Google Apps)的凭证的系统,确保攻击者无法获取访问权的第二种方法是:使用一个电子邮件账户用于外部通信,使用另一个单独的电子邮件账户(或更多账户)仅用于访问重要应用和数据。即使在云环境中,使用与个人不相关的电子邮件账户名称都能够阻止外部人员发现(并可能破坏)该账户。在CloudFlare的案例中,如果使用jps2958@gmail.com作为电子邮件账户,并使用单独的账户(例如torbox3953@gmail.com)用于Google Apps访问将让攻击者无法找出CEO的电子邮件账户。
翻译
相关推荐
-
防鱼叉式网络钓鱼变成国际间谍行为
Spear Phishing–鱼叉式网络钓鱼,指的是针对特定的对象进行攻击,利用社交工程的方式取信于收件者,诱使他们开启电子邮件,以趁机植入木马到受害者的计算机中……