不要把機(jī)密資料交給任何人,除非你能夠確定他們確實(shí)如他們所說身份屬實(shí),而且他們應(yīng)該獲得你的信息。
什么是社會(huì)工程攻擊?
攻擊者通過使用人類交流手段(社交技巧)來獲得或者危害某個(gè)機(jī)構(gòu)或該機(jī)構(gòu)的計(jì)算機(jī)系統(tǒng)的信息,從而發(fā)起的攻擊稱為社會(huì)工程攻擊。這個(gè)攻擊者可能看起來非常謙遜和令人尊敬,他可能自稱是一個(gè)新員工,修理工,或者是甚至能夠?yàn)槠渥陨硖峁┥矸葑C明的研究人員。然而,通過提出問題,他或她能夠拼湊出足夠多的信息去滲入一個(gè)機(jī)構(gòu)的網(wǎng)絡(luò)。如果這個(gè)攻擊者不能從一個(gè)來源獲取足夠多的信息,他們就會(huì)找到該機(jī)構(gòu)中另一個(gè)信息來源,然后依靠從第一個(gè)來源處獲得的信息來增加他或她的可信度。
什么是釣魚式攻擊?
釣魚式攻擊是社會(huì)工程攻擊的一種形式。釣魚式攻擊者使用電子郵件和惡意網(wǎng)頁來請(qǐng)求獲得個(gè)人信息,常常是財(cái)務(wù)方面的信息。攻擊者會(huì)發(fā)送出看起來像是從有信譽(yù)的信用卡公司或者金融機(jī)構(gòu)發(fā)出的電子郵件,這些電子郵件常常稱有問題發(fā)生并請(qǐng)求獲得用戶的賬號(hào)信息。當(dāng)用戶回復(fù)了要求的資料,攻擊者就能夠利用這些資料來進(jìn)入用戶的賬號(hào)。
怎樣避免成為受害者?
小心從個(gè)人發(fā)出的詢問員工或其他內(nèi)部資料的來路不明的電話,訪問或者電子郵件信息。如果一個(gè)不認(rèn)識(shí)的個(gè)人聲稱來自某合法機(jī)構(gòu),請(qǐng)?jiān)O(shè)法直接向該機(jī)構(gòu)確認(rèn)他或她的身份。
除非你能夠確定某人有權(quán)得到此類資料,否則不要供個(gè)人信息或者你所在機(jī)構(gòu)的信息給他,包括你所在機(jī)構(gòu)的組織結(jié)構(gòu)和網(wǎng)絡(luò)方面的信息。
不要在電子郵件中泄露私人的或財(cái)務(wù)方面的信息,不要回應(yīng)征求此類信息的郵件,也包括不要點(diǎn)擊此類郵件中的鏈接。
在檢查某個(gè)網(wǎng)站的安全性之前不要在網(wǎng)絡(luò)上發(fā)送機(jī)密信息。
注意一個(gè)網(wǎng)站的URL地址。惡意網(wǎng)站可以看起來和合法網(wǎng)站一樣,但是它的URL地址可能使用了修改過的拼寫或域名(例如將.com變?yōu)?net)。
如果你不能確定某個(gè)電子郵件是不是合法的,請(qǐng)?jiān)O(shè)法和公司直接聯(lián)系確認(rèn)。不要使用這封郵件里的鏈接提供的網(wǎng)站的聯(lián)系信息;相反,要檢查之前聲明的聯(lián)系信息。關(guān)于已知的釣魚式攻擊的資料也可以在某些在線組織的網(wǎng)絡(luò)上找到,例如反釣魚式攻擊組織(hxxp://www.antiphishing.org/phishing_archive.html)。
安裝和維護(hù)反病毒軟件,防火墻和郵件過濾器來減少此類垃圾郵件。
如果你認(rèn)為已受危害該如何做?
如果你確信已經(jīng)泄露了你所在機(jī)構(gòu)的機(jī)密信息,請(qǐng)向你所在機(jī)構(gòu)的適當(dāng)人員報(bào)告,包括網(wǎng)絡(luò)管理員。這樣他們就能夠?qū)梢傻幕虿徽5幕顒?dòng)提高警惕。
如果你確信你的財(cái)務(wù)賬號(hào)被侵害了,請(qǐng)迅速聯(lián)系你的財(cái)務(wù)機(jī)構(gòu)并關(guān)閉可能被侵害的賬號(hào)。觀察你的賬號(hào)中任何無法解釋的收費(fèi)。
請(qǐng)考慮將攻擊報(bào)告給警察,并發(fā)送一份報(bào)告給相關(guān)安全機(jī)構(gòu)。
