保護您的隱私 3 8 您的數字足跡可以為黑客提供有關您的線索,他們可以利用這些線索來欺騙您。 伊万/Flickr, CC BY-SA

當您使用互聯網時,您會留下一系列數據,一組數字足跡。 這些包括您的社交媒體活動、網絡瀏覽行為、健康信息、旅行模式、位置地圖、有關您的移動設備使用的信息、照片、音頻和視頻。 這些數據由各種組織收集、整理、存儲和分析,從大型社交媒體公司到應用程序製造商再到數據經紀人。 正如您可能想像的那樣,您的數字足跡會使您的隱私面臨風險,但它們也會影響網絡安全。

作為一個 網絡安全研究員,我跟踪數字足跡對網絡安全構成的威脅。 黑客能夠使用在線收集的個人信息來找出安全挑戰問題的答案,例如“你在哪個城市遇到了你的配偶?” 或通過冒充同事或工作夥伴來進行網絡釣魚攻擊。 當網絡釣魚攻擊成功時,攻擊者可以訪問受害者有權使用的網絡和系統。

跟隨腳印更好地誘餌

網絡釣魚攻擊有 比 2020 年初翻了一番. 網絡釣魚攻擊的成功取決於郵件內容對收件人的真實程度。 所有網絡釣魚攻擊都需要有關目標人員的某些信息,而這些信息可以從他們的數字足跡中獲得。

黑客可以免費使用 開源情報 收集工具以發現其目標的數字足跡。 攻擊者可以挖掘目標的數字足跡,包括音頻和視頻,以提取聯繫人、關係、職業、職業、好惡、興趣、愛好、旅行和常去地點等信息。


內在自我訂閱圖形


 您的在線活動可能會感覺稍縱即逝,但它們會留下痕跡。

然後他們可以使用這些信息 製作網絡釣魚郵件 看起來更像是來自可信來源的合法信息。 攻擊者可以傳遞這些個性化消息, 長矛網絡釣魚郵件,對受害者或構成受害者,並針對受害者的同事,朋友和家人。 魚叉式網絡釣魚攻擊甚至可以欺騙那些接受過網絡釣魚攻擊識別訓練的人。

最成功的網絡釣魚攻擊形式之一是 商業電子郵件洩露 攻擊。 在這些攻擊中,攻擊者冒充具有合法業務關係的人(同事、供應商和客戶)來發起欺詐性金融交易。

一個很好的例子是針對公司的攻擊 Ubiquity Networks Inc. 2015 年. 攻擊者發送的電子郵件看起來像是從高管發給員工的。 該電子郵件要求員工進行電匯,導致 46.7 萬美元的欺詐性轉賬。

訪問網絡釣魚攻擊受害者的計算機可以使攻擊者訪問受害者雇主和客戶的網絡和系統。 例如,零售商 Target 的 HVAC 供應商的一名員工 成為網絡釣魚攻擊的受害者. 攻擊者使用他的工作站訪問 Target 的內部網絡,然後訪問他們的支付網絡。 攻擊者藉此機會感染了 Target 使用的銷售點系統,並竊取了 70 萬張信用卡的數據。

一個大問題以及如何處理它

計算機安全公司 趨勢科技 發現 91% 的攻擊中,攻擊者 獲得未被發現的網絡訪問權限 並隨著時間的推移使用網絡釣魚消息開始的訪問。 Verizon 的數據洩露調查報告 發現所有數據洩露事件中有 25% 涉及網絡釣魚。

鑑於網絡釣魚在網絡攻擊中發揮的重要作用,我認為組織教育其員工和成員管理他們的數字足跡非常重要。 該培訓應涵蓋如何 找到您的數字足蹟的範圍,如何 安全瀏覽 以及如何 負責任地使用社交媒體.

關於作者

拉維森, 信息與運營管理副教授, 德克薩斯A&M大學

本文重新發表 談話 根據知識共享許可。 閱讀 原創文章.