COVID-19新型冠状病毒事件以来,大多数组织都允许员工们通过笔记本电脑灵活地进行远程工作,这些笔记本电脑可以随处携带,并且如果没有适当的保护,它们也很容易成为盗贼和黑客的目标。同时,员工们也越来越多地在个人智能手机上访问工作电子邮件和应用程序,如果这些移动计算设备中包含了敏感电子邮件和其他涉密数据,那么保护它们的安全性和机密性将成为使用者的重要责任。
COVID-19疫情也加速了数字化转型的步伐,许多消费者采用了手机银行,其中最主流的当属微信支付与支付宝。然而与此同时,欺诈者也适应了新环境,并相应地以帐户接管攻击的形式发展了他们的攻击策略。那么问题来了,各类型的组织机构可以采取哪些措施来挫败金融网络犯罪和保护消费者呢?
许多现场支持和差旅营销人员通常使用平板电脑访问工作系统和客户数据,如果平板电脑被盗或被黑客入侵,这也可能造成敏感工作信息和客户个人隐私数据泄露。更令人担忧的是,高管们有可能会在其移动计算设备上存储财务数据或有价值的知识产权,如果这些财务数据或知识产权丢失,必定会造成灾难性的损失。欺诈者使用多种方式进行帐户接管攻击,包括暴力攻击、凭据填充、网络钓鱼和社会工程学。
- 暴力攻击:网络犯罪分子使用自动脚本,通过密码组合来验证登录凭据。
- 凭证填充:类似于蛮力攻击,但通过利用公开的用户名密码数据库进行“撞库”和可用的“有根据的”组合方式进行猜测。
- 网络钓鱼:一种诈骗策略,用于诱骗受害者点击恶意软件或通过社会工程使他们在看似正常的网站中输入敏感信息(包括账户、密码、验证码等)。
- 社会工程学:涵盖了广泛的策略,包括从电子邮件、社交媒体、消息和电话、甚至线下面对面进行的方式,欺诈者通过社会工程受害者来交出信息或转移资金。这通常是由冒充合法实体(政府机关或知名企业)的欺诈者完成的,可能包括威胁甚至勒索。
对于移动设备的用户来讲,这些威胁之外,还包含恶意软件的移动应用程序,这些应用程序可以访问或传输敏感数据,利用间谍软件跟踪个人并且还包含其他安全漏洞。许多用户也不想更改已安装应用程序的默认配置,而可能会给应用程序不必要的访问其联系人,日历和位置的权限。
组织的所有部门都必须采取严格的预防措施来减轻帐户接管攻击对客户的威胁。对此,昆明亭长朗然科技有限公司网络安全专员董志军表示:首先要升级和优化身份验证流程,其次,无疑是强化防范意识,让职员们能够慧眼识别钓鱼特征,并拥有应对社会工程学攻击的能力和动力。
- 信息技术、人力资源、财务和行政等部门必须意识到包含敏感员工、工资单和其他敏感数据的数据库面临的网络安全威胁,所有这些对犯罪分子来讲,都有着非常巨大的价值。
- 欺诈者越来越多地找到绕过弱密码的方法,应对的方案比较多,包括实时移动身份验证及鉴别、高级身份验证方法,例如采用单点登录 (SSO) 和密码管理器、双因素身份验证 (2FA)等等,以保护账户的安全。
- 保障终端设备的安全,这不是什么新问题,更新系统、启用安全特性、加密数据、使用密码锁屏、保护实体资产等等都有成熟的方案。
- 提醒客户和员工注意钓鱼诈骗以及社工欺诈,例如“升级邮箱”、“升级U盾”这种网络钓鱼欺诈,很容易让没有防范意识的客户和职工落入圈套。除了持续的案例式培训,就是模拟钓鱼测试。
总之,COVID-19常态化了,安全新问题就是攻击者借用终端的弱点,盗取并假冒用户身份,登录云端进行更大范围的盗窃。分析问题可得对策,云端的系统和数据可以集中力量管控,终端设备的安全需引发重视,终端用户的漏洞更是不容忽视。要修复终端用户的漏洞,我们推出如下“人员防火墙”——“爱思”系列产品及服务,以期帮助客户启迪受众对信息安全的思考。欢迎有兴趣的客户联系我们,洽谈采购事宜。
is-video“爱思无丢”安全视频,场景式卡通表演教学短片撒播安全理念,如鸣笛般让受众警醒,让迷失者幡然醒悟,全面正确认识安全。
is-mods“爱思魔豆”安全模块,人工智能技术筛选安全培训内容,针对不同受众进行个性化知识定制,因材施教弥补受众特有安全弱点。
is-game“爱思互动”安全游戏,打破填鸭式说教式的传统,借助互动媒体的创新方式,启发式引导受众们对安全的深度认可与积极践行。
is-assess“爱思赛测”安全评测系统,除了安全试题,众多挑战式安全场景启发受众深思,让安全风险终结于正确的意识认知和抉择行动。
is-course“爱思沃课”安全课件服务,囊括成熟的通用型课程内容、定制化的课程方案,精心的创意设计与制作服务,集大成者包罗万象。
is-system“爱思卫吾”安全宣教平台,创新的学习管理系统,随时随地感化受众,提升安全感悟,让受众面临安全情况时,爱思考会自保。
- 电话:0871-67122372
- 微信:18206751343
- 邮件:info@securemymind.com
- QQ: 1767022898
