值此网络安全宣传月之际,我们要提高人们对最可怕的社交工程攻击的认识,以及我们如何才能将这些怪物驱逐到过去……
FIDO Alliance高级营销总监Megan Shamas
网络犯罪分子就像 “不给糖就捣蛋 “的捣蛋鬼,他们会敲开你的家门,免费获取你的证书。 无论是传统的网络钓鱼电子邮件,还是更复杂的深层伪造攻击,我们的数字生活和密码的泛滥使我们越来越容易受到网络威胁。
FIDO联盟的使命是让世界不再使用密码,而是使用更简单、更强大的身份验证,而提高人们的身份验证意识正是这一使命的核心部分。 标准和技术只是解决网络安全挑战的一半–我们有责任教育并提供最好的信息和资源,帮助每个人在任何网络环境中做出明智的决定–无论你是在工作、学习还是个人生活中。
这就是为什么我们喜欢与 CISA 和 NCSAM 合作,喜欢他们围绕网络安全宣传月所做的努力,因为这涉及到网络安全的 “人 “的部分。 毫无疑问,当我们想到 “人 “的部分时,网络钓鱼和社会工程学攻击是首当其冲的。
为了宣传今年的 “网络安全宣传月”,我们从即将到来的幽灵季节中汲取灵感,揭露犯罪分子用来窃取您的糖果凭证的最可怕的技术和技巧,以及如何阻止他们。
披着羊皮的狼
网络世界是寻找朋友、工作和爱情的绝佳空间。 但在友好的聊天和互动背后,也可能潜伏着狼。 这类攻击相当复杂,通常会持续很长时间,攻击者要赢得毫无戒心的受害者的信任。
丰盛的鱼 “很快就会变成 “丰盛的鱼饵”,在消费者放松警惕、最不经意的时候抓住他们。 最近 Netflix 出品的纪录片《Tinder Swindler》就是一个很好的例子,说明了这些骗子是多么令人信服和顽固不化。 在网上建立关系时,请记住应用程序另一端的人可能并不总是表里如一,然后再分享任何可能帮助他们接管你的在线账户的敏感信息。
菲什玛斯往事的幽灵
银行要求确认您的详细信息的电子邮件。 快递公司要求您重新安排送货时间的短信。 如果您注册了一个新账户,零售商就会给您发送一条欢快的短信,告诉您赢得了 100 美元用于消费。
你可能会认为自己已经见怪不怪了,但这些老掉牙、屡试不爽的网络钓鱼技术仍在困扰着我们,而且到目前为止仍是最有效的。 就拿去年圣诞节期间在英国闹得沸沸扬扬的皇家邮政短信诈骗案,或者最近对Facebook 商业/广告用户的全球性攻击来说。 据估计,在 2021 年,每五个人中就有三人是虚假快递短信的目标。 由于攻击的数量和质量都在不断上升,最简单的网络钓鱼和网络诈骗都可能让我们中的任何人猝不及防。
变形金刚
你肯定看过一些有趣的病毒视频,比如汤姆-克鲁斯(Tom Cruise)唱歌,或者听说过今年早些时候制作的乌克兰总统泽连斯基(Zelensky)的假视频。 但是,深度伪造技术并不仅限于喜剧和政治攻击–这种技术正变得越来越容易获得,也越来越有说服力,从而对普通消费者进行更有效的攻击。 今年 6 月,美国联邦调查局甚至向雇主发出警告,提醒他们注意假冒员工利用该技术以虚假借口申请工作,欺骗组织。
现在,Deepfake 视频和音频被用来加强更标准的网络钓鱼攻击,让受害者相信他们正在与最亲近的人接触,从而迫使他们提供敏感信息和细节。
终结者
这是一种让人不寒而栗的社交工程攻击。 人工智能和机器学习的最新进展使攻击者能够通过数据搜刮并将姓名、出生日期和雇主信息等令人信服的细节整合到攻击中,自动实施高度针对性的攻击(即鱼叉式网络钓鱼)。
只要透露足够多的合法信息,消费者就会陷入虚假的安全感,甚至更有可能分享凭证。 现在,这种攻击以惊人的速度和复杂程度自动化,如果我们找不到足够强大的防御手段,它还会不断出现……。
嘭,密码!
我们要想真正保护自己,避免在网上共享最宝贵的凭证,唯一的办法就是首先不要拥有可以共享的凭证。 如果密码就像万圣节的糖果一样摆在我们的门前,那么我们就应该 无法共享 像基于 FIDO 密码的登录和设备上的生物识别技术,这意味着即使你上当受骗,骗子也会饿肚子。
FIDO 身份验证是由全球最大的科技公司、众多服务提供商和安全利益相关者合作创建的,是目前唯一广泛使用的防网络钓鱼身份验证方法。 美国和英国等国政府越来越多地将FIDO作为机构实施和获取强大网络安全的 “黄金标准”。 大大小小的公司都可以使用 FIDO 技术,而且正如 Cloudflare 最近挫败的网络攻击所表明的那样,该技术非常有效。
FIDO 技术在消费者中也将变得更加容易获得和普及。 今年早些时候,全球最大的平台–苹果、谷歌和微软–承诺支持我们的新安全密钥标准–FIDO多设备凭证,也称为 “通行密钥”。 这意味着,在我们最常用的浏览器和设备上,我们很快就能使用生物识别技术或 PIN 码,通过我们每天在移动设备上使用的相同手势,访问基于 FIDO 的无密码登录技术。
值此网络安全宣传月之际,我们敦促服务提供商将抗网络钓鱼的无密码身份验证列入他们的路线图,这样消费者就可以改用无密码身份验证–或者至少减少密码的使用–这样我们就可以让这些社会工程怪物无计可施了。
