您的数字足迹可以为黑客提供有关您的线索,他们可以利用这些线索来欺骗您。 伊万/Flickr, 创用CC BY-SA
当您使用互联网时,您会留下一系列数据,一组数字足迹。 这些包括您的社交媒体活动、网络浏览行为、健康信息、旅行模式、位置地图、有关您的移动设备使用的信息、照片、音频和视频。 这些数据由各种组织收集、整理、存储和分析,从大型社交媒体公司到应用程序制造商再到数据经纪人。 正如您可能想象的那样,您的数字足迹会使您的隐私面临风险,但它们也会影响网络安全。
RedFern 网络安全研究员,我跟踪数字足迹对网络安全构成的威胁。 黑客能够使用在线收集的个人信息来找出安全挑战问题的答案,例如“你在哪个城市遇到了你的配偶?” 或通过冒充同事或工作伙伴来进行网络钓鱼攻击。 当网络钓鱼攻击成功时,攻击者可以访问受害者有权使用的网络和系统。
跟随脚印更好地诱饵
网络钓鱼攻击有 比 2020 年初翻了一番. 网络钓鱼攻击的成功取决于邮件内容对收件人的真实程度。 所有网络钓鱼攻击都需要有关目标人员的某些信息,而这些信息可以从他们的数字足迹中获得。
黑客可以免费使用 开源情报 收集工具以发现其目标的数字足迹。 攻击者可以挖掘目标的数字足迹,包括音频和视频,以提取联系人、关系、职业、职业、好恶、兴趣、爱好、旅行和常去地点等信息。
您的在线活动可能会感觉稍纵即逝,但它们会留下痕迹。
然后他们可以使用这些信息 制作网络钓鱼邮件 看起来更像是来自可信来源的合法信息。 攻击者可以传递这些个性化消息, 长矛网络钓鱼邮件,对受害者或构成受害者,并针对受害者的同事,朋友和家人。 鱼叉式网络钓鱼攻击甚至可以欺骗那些接受过网络钓鱼攻击识别训练的人。
最成功的网络钓鱼攻击形式之一是 商业电子邮件泄露 攻击。 在这些攻击中,攻击者冒充具有合法业务关系的人(同事、供应商和客户)来发起欺诈性金融交易。
一个很好的例子是针对公司的攻击 Ubiquity Networks Inc. 2015 年. 攻击者发送的电子邮件看起来像是从高管发给员工的。 该电子邮件要求员工进行电汇,导致 46.7 万美元的欺诈性转账。
访问网络钓鱼攻击受害者的计算机可以使攻击者访问受害者雇主和客户的网络和系统。 例如,零售商 Target 的 HVAC 供应商的一名员工 成为网络钓鱼攻击的受害者. 攻击者使用他的工作站访问 Target 的内部网络,然后访问他们的支付网络。 攻击者借此机会感染了 Target 使用的销售点系统,并窃取了 70 万张信用卡的数据。
一个大问题以及如何处理它
计算机安全公司 趋势科技 发现 91% 的攻击中,攻击者 获得未被发现的网络访问权限 并随着时间的推移使用网络钓鱼消息开始的访问。 Verizon 的数据泄露调查报告 发现所有数据泄露事件中有 25% 涉及网络钓鱼。
鉴于网络钓鱼在网络攻击中发挥的重要作用,我认为组织教育其员工和成员管理他们的数字足迹非常重要。 该培训应涵盖如何 找到您的数字足迹的范围, 如何 安全浏览 和如何 负责任地使用社交媒体.
关于作者
拉维森, 信息与运营管理副教授, 得克萨斯州A与M大学
