關於網路安全漏洞
網路安全漏洞是指未經授權入侵電腦系統或網絡,旨在竊取敏感資訊、洩漏資料或擾亂正常運作的行為。安全漏洞可能由多種方式造成,包括駭客攻擊、惡意軟體、網路釣魚攻擊或利用軟體或系統中的漏洞。
安全漏洞可能造成嚴重後果,包括未經授權共享敏感資訊、財務損失、聲譽受損以及正常營運中斷。此外,安全漏洞還可能使個人面臨風險,因為敏感的個人資訊(例如社保號碼和財務資訊)可能會被盜。
目標:
- 識別網路釣魚計劃的組成部分
- 區分適當的方法來降低身分盜竊的可能性
網路安全漏洞的類型:網路釣魚、藉口、尾隨、肩窺、身分盜竊和身分詐欺
網路釣魚
網路釣魚是一種網路攻擊,它誘騙個人透過虛假電子郵件或指向看似合法的網站來分享敏感資訊。
藉口
網路釣魚注重的是恐懼和緊迫性,但藉口是一種操縱形式,目的是與受害者建立虛假的信任。
肩窺
肩窺是一種實體安全漏洞,攻擊者透過在個人輸入密碼、信用卡號或其他敏感資訊時偷看肩膀來獲取敏感資訊。
尾隨
尾隨,也稱為搭便車,是一種實體(而非數位)安全漏洞。
身份盜竊和身份欺詐
身分盜竊是指某人獲取他人個人資訊並將其用於自身利益。而欺詐是指使用虛假或欺騙手段從他人取得金錢或財產。
搭建舞台(個人)
馬克正準備退休。週末,他用家裡的電腦向朋友、同事和家人發出公司舉辦的慶祝派對的邀請。
馬克的個人信箱收到了雇主寄來的一封關於退休金的郵件。他沒怎麼在意,只是閱讀郵件內容並按照說明操作。
不幸的是,聚會前兩天,馬克發現他的身分被用來批准幾筆未經授權的貸款,他的儲蓄帳戶也被盜用了。
設置舞台(專業)
Paula 是 Dash Bank 的新員工,並在該銀行擁有一個個人支票帳戶。 Paula 收到了一封疑似銀行發來的電子郵件,內容是: “我們懷疑您的帳戶存在一筆未經授權的交易。請點擊下方鏈接,查看您上次交易的金額是否正確,並確認您的帳戶未被盜用。”
在點擊連結之前,她諮詢了同事艾米麗,確認他們的銀行是否提供此類服務。艾蜜莉告訴保拉,他們公司不會發送這類郵件。事實上,大多數公司都不會。
府員工的網路安全漏洞
2015年,人事管理局(OPERS)遭遇資料洩露,數百萬聯邦員工和承包商的個人資訊被洩露。 2020年,SolarWinds 資料外洩事件影響了美國商務部、國土部、國立衛生研究院等機構。如您所見,簡單的駭客攻擊就足以造成大規模資料外洩。因此,政府工作人員必須重視自身的網路安全實務。
網路釣魚101
網路釣魚是一種網路攻擊,它透過虛假電子郵件或看似合法的網站誘騙個人分享敏感資訊。使用網路釣魚詐騙的網路犯罪分子會偽裝成真實的 :
- 企業
- 知名公司
- 銀行和金融機構
- 政府辦公室
- 信用卡業務
- 慈善機構和非營利組織
他們正在尋找密碼和財務資訊等敏感資訊。
網路釣魚攻擊利用人們每天使用的通訊工具,可以透過各種方式進行:電子郵件、簡訊、電話或即時訊息。
攻擊者精心製作網路釣魚資訊來營造緊迫感或恐懼感。
例子:
- 他們要求立即進入某人的銀行帳戶,以發放放大獎或檢查最近可能存在的詐欺活動。
- 他們請求立即進行慈善捐款,以支持自然災害後的受害者。
- 他們威脅要「揭露」不當的網路活動或其他所謂的錯誤行為。
你可知道?
- 垃圾郵件釣魚
釣魚攻擊同時針對許多人。 - 魚叉式網路釣魚或鯨釣式
網路釣魚針對特定的高價值目標(例如名人、公司高層或政府高級官員)進行攻擊。
網路釣魚詐騙的特徵
展開每個框框以了解網路釣魚詐騙的特徵。
網路釣魚詐騙的特徵包括以下一項或多項... 要求立即採取行動並緊急提供
- 聲稱您的帳戶或密碼有問題
- 請求確認您的密碼或帳戶訊息
- 聲稱你的帳號有可疑活動
- 通知您付款失敗或錯過付款
- 向您提供免費優惠券或禮物,或告知您有資格獲得退款
數位通訊(電子郵件、簡訊、訊息)
- 寄件者和未知寄件者的通用訊息
- 未請求的發票或訊息附件或發票
- 主題和內容不符
- 拼字錯誤和基本標點符號錯誤
- 數字的類似字符,反之亦然。例如,用數字 1 取代大寫字母 I
- 要求您點擊連結或提供新的安全更新信息
- 指向看似合法網站的超鏈接
- 病毒警告
請注意以下單字和短語:
- 我們懷疑您的帳戶存在未經授權的使用或交易。
- 如果您不立即確認您的身份,我們將鎖定或關閉您的帳戶。
- 點擊該連結可驗證 您的帳戶是否受到損害。
練習:您能捕捉至少 15 個 PHISHING SCAM 元素嗎?
讓我們回顧一下上一頁討論的內容。網路釣魚詐騙的特徵通常包括以下一個或多個元素:
要求立即採取行動並緊急提供
- 聲稱您的帳戶或密碼有問題
- 請求確認您的密碼或帳戶訊息
- 聲稱你的帳號有可疑活動
- 通知您付款失敗或錯過付款
- 向您提供免費優惠券或禮物,或告知您有資格獲得退款
數位通訊(電子郵件、簡訊、訊息)
- 寄件者和未知寄件者的通用訊息
- 未請求的發票或訊息附件或發票
- 主題和內容不符
- 拼字錯誤和基本標點符號錯誤
- 數字的類似字符,反之亦然。例如,用數字 1 取代大寫字母 I
- 要求您點擊連結或提供新的安全更新信息
- 指向看似合法網站的超鏈接
- 病毒警告
在下面的例子中,您能辨識出至少 15 個網路釣魚詐騙元素嗎?
借口: 网络钓鱼注重的事恐惧和紧迫性, 但接口是一种操纵形式, 目的是与受害者建立虚假的信任
肩窺
肩窺是一種實體安全漏洞,攻擊者透過在個人輸入密碼、信用卡號或其他敏感資訊時偷看肩膀來獲取敏感資訊。
肩窺可能發生在公共場所,例如 ATM 機,或在公共場所使用電腦時。這種簡單但有效的攻擊方式可能會造成嚴重損害,包括身分盜竊和財務損失。
如何區分攻擊與真實互動
提高網路安全的簡單方法是停止、確認、行動。
由於社會工程攻擊屢見不鮮,學會辨識這些蛛絲馬跡有助於避免成為受害者。大多數網路攻擊都瞄準了人類與生俱來的互助互愛的本能。在我們快速發展的生活中,專注於細節可能並非易事。
如果某則訊息以任何方式顯得過於私人或尋求過於有價值的訊息,請停止、確認、採取行動。
**问题 : 我的情緒是否變得激動,或者我是否感到有採取行動的緊迫感? ** **當我們過度恐懼、興奮或好奇時,我們更有可能不考慮情況的後果或合法性就採取行動。
此訊息是來自朋友還是其他合法寄件者?
駭客經常使用包含模仿他人字元的電子郵件地址(例如,將“daniel@example.com”誤寫為“claniel@example.com”)。即使電子郵件地址經核實無誤,如果通信中的其他細節引起警覺,請立即停止通信,並向寄件者確認該郵件確實來自他們。
這個網站是否有奇怪的細節?
偽造的網站通常包含低品質的圖片、錯誤的公司徽標、拼寫錯誤以及不完整或令人困惑的資訊。請檢查網站的URL以驗證其準確性。檢查網站是否擁有SSL證書,以確保安全。
這個提議是不是好得令人難以置信?
大幅折扣和贈品固然誘人,但在接受看似好得令人難以置信的優惠之前,不妨先問問自己,為什麼有人會向你提供這樣的優惠——尤其是在他們幾乎得不到任何好處的情況下。
你能驗證一個人的身分嗎?
如果您不認識某人,請不要猶豫詢問他們的資歷,即使他們看起來是權威人士或值得信賴的人。
尾隨
尾隨,也稱為搭便車,是一種實體(而非數位)安全漏洞。尾隨是指跟隨授權人員進入限制存取區域,或透過遠端桌面連線進行虛擬存取。
例如,攻擊者可能會假裝是送貨司機,並要求剛刷過門卡的員工為他們開門。
尾隨攻擊的成功取決於受害者對攻擊者合法進入某個區域的認可。
身份盜竊和身份欺詐
身分盜竊和身分詐欺是指所有類型的犯罪,其中某人以某種涉及詐欺或欺騙的方式不正當地獲取和使用他人的個人數據,通常是為了獲取經濟利益。
身分盜竊是指某人獲取他人個人資訊並將其用於自身利益的行為。此類資訊包括但不限於:
- 姓名
- 社會安全號碼
- 信用卡詳細資訊
- 其他敏感資訊
****另一方面,欺詐是指使用虛假或欺騙手段從他人那裡獲取金錢或財產。
例如,身分盜竊是指利用他人個人資訊進行詐欺的行為,例如以受害者名義開設銀行帳戶、申請信用卡或貸款。
身分盜竊和詐欺是最嚴重的網路犯罪之一。它們可能對受影響的個人、團體和公司造成長期、毀滅性的後果,有時甚至無法挽回。
一旦身分被盜,駭客就會迅速採取行動,隱藏攻擊行為,並採取預防措施不被發現。這使得追蹤和起訴犯罪者變得十分困難。
駭客竊取個人識別資訊後,可以利用這些資訊實施犯罪。常見的犯罪行為包括:
- 為了經濟利益
- 釣魚式攻擊-在社群媒體上冒充他人
- 虐待和騷擾
- 勒索
對於當今的網路犯罪分子來說,完全避免身分盜竊是不切實際的;然而,採取具體措施將降低成為攻擊受害者的風險。
網路安全意識可以幫助您有效控制駭客取得的資料量,阻止其他活動發生,並提升追回被盜財產的能力。例如,您可以收到可疑活動的警報,並在發生身分盜竊攻擊時迅速採取行動。您可以考慮以下策略:
- 註冊身分盜竊保護服務
- 使用 Experian、Equifax 和 TransUnion 凍結你的信用檔案。家長應考慮凍結年幼孩子的信用檔案。
- 每天收取郵件或將郵件遞送至授權的郵政信箱
- 定期檢查信用卡和銀行對帳單
- 處理包含個人資訊的文件前,請將其粉碎
- 為每個帳戶建立不同的密碼
- 每年審查信用報告
- 安裝防毒軟體
- 在裝置和帳戶上啟用雙重認證
- 捐贈前擦拭電子產品
- 選擇退出預先篩選的信用卡優惠
練習:針對領導者和經理
在全年的團隊會議上回顧網路安全狀況是一項非常寶貴的練習,也是確保您、您的員工和企業安全只需五分鐘的一步。您可以考慮在每周初或每月例會上與您的團隊討論以下主題之一。課程中學習到的最佳實踐將有助於理解,同時提供支持性的公司政策、培訓和文件。
- 討論網路釣魚計劃通常如何運作。
- 討論身份盜竊可能造成的損害。
