401
網絡釣魚大講堂 Part2 | 網絡釣魚風險(攻擊帶來的損失)
網絡釣魚攻擊可竊取身份信息,摧毀生活。這種攻擊會波及到每個人,上至高級銀行經理下至從未聽說過網絡詐騙的未成年人均有可能被感染。不過,令人遺憾的是,網絡釣魚攻擊已有10多年的曆史,但很多人仍因不了解該攻擊的基本原理而淪為此類網絡詐騙的受害者。
首先讓我們了解一下成功的網絡釣魚攻擊所采取的攻擊方式:
- 利用數據訪問受害者的賬戶,然後提款或進行在線交易,如購買產品或服務。
- 利用數據以受害者名義開設虛假銀行賬戶或信用卡,然後利用非法支票套現。
- 在受害者的計算機係統中安裝病毒和蠕蟲,向受害者的聯係人傳播釣魚郵件。
- 利用某些係統存儲的數據獲取高價值的組織數據,如銀行信息、員工憑證及社保號等。
接下來,我們從幾個方麵介紹網絡釣魚攻擊帶來的影響或損失。網絡釣魚攻擊會產生各種各樣的危害,在本文我們特別關注財務損失、聲譽損失及導致的拒絕服務(DoS)。
財務損失
對於組織來說,評估網絡釣魚攻擊導致的財務損失並不容易,因為要考慮多種因素。多年來,企業由於慘遭釣魚攻擊詐騙已損失幾十億美元。
就魚叉式釣魚攻擊來說,2015年平均每次攻擊事件就造成了150萬美元的損失。Ponemon機構發布的報告表明,2016年第一季度,成功的網絡釣魚攻擊導致的平均損失高達370萬美元。即使已部署特定安全措施防止此類詐騙,組織仍遭網絡釣魚攻擊“光顧”。
盡管形勢很嚴峻,目前超過70%的組織仍依賴傳統殺毒軟件和反間諜軟件程序,掌握的有關如何保護數據的知識非常有限。組織需明白實現全麵安全須采用廣泛的安全措施。傳統殺毒程序可能會過濾某些郵件或防止用戶打開某些附件,一旦惡意消息與常規詐騙消息存在差異,就有可能繞過殺毒程序而不被發現。
聯邦調查局(FBI)發布報告稱,大型企業因收到魚叉式釣魚郵件而遭遇了數次財務損失。利用這些郵件,攻擊者偽裝成公司管理人員,讓員工將資金轉賬給實則為攻擊者控製的賬戶。攻擊者偽造公司高層的賬戶,並結合其它釣魚攻擊方法讓員工誤認為資金轉賬請求來自公司高層或供應商。該報告還指出,攻擊者一般鎖定與國外供應商有合作或經常進行電子轉賬的企業。
2016年1月,奧地利飛機零件製造商FACC公司因遭遇釣魚攻擊損失近5400萬美元。鑒於公司遭受重大財務損失和聲譽損失,該公司的首席執行官(CEO)於同年3年被解雇。
降低財務損失
已遭遇過釣魚詐騙的組織或此類攻擊的潛在受害者需製定並維護全麵的釣魚攻擊防護計劃。這樣,組織即使不一定完全規避網絡釣魚攻擊風險,但會避免直接損失或將損失降至最低。
該計劃應提供嚴格的規範,為用戶明確各種情況下的具體響應操作。上麵提及的FBI報告指出,大部分財務損失是在入侵發生的24小時之內導致的。
為降低財務損失,組織應采取以下措施:
- 明確所有利益主體,劃分職責並向其傳達。
- 製定與組織當前的流程和程序相符的網絡釣魚防護和響應計劃,並提供相關文件。
- 製定有效的內部和外部溝通流程。
- 明確網絡釣魚響應升級路徑。
- 盡量減少負麵用戶體驗,樹立客戶對組織的在線服務的信心。
- 成立反網絡釣魚團隊,專門負責減少此類攻擊造成的損失。
聲譽損失
打造一個成功品牌需數年持續服務和用戶滿意度的積累。所有的成功品牌均來自於客戶的信任,而贏得客戶的信任並非易事。不要留有任何機會讓針對您的品牌權益的攻擊趁虛而入,因為這會對您的品牌信譽造成不可挽回的損失。
Frost & Sullivan公司的調查顯示,71%的安全從業人員將“品牌保護”視為首要任務。攻擊者每年都要向數百個頂級品牌發動數千次網絡釣魚攻擊。所有涉及在線業務的品牌都是攻擊者的目標,而那些擁有海量用戶數據的企業倍受黑客青睞。
品牌信譽受損代價
組織的財務損失可能會在一段時間內得到彌補,而品牌信譽損失則需數年時間才恢複。一旦組織遭遇攻擊事件,客戶未來或會中斷與組織的業務往來。
Ponemon機構的調查表明,31%的受訪者表示若被告知合作組織遭遇數據安全入侵事件,會中斷合作關係。並且,他們還表示若第三方供應商遭遇此類事件,會立即中止合同。
有意思的是,即使用戶並未向攻擊者提供信息而中招網絡釣魚詐騙,也會對公司產生誤解。實際上,就連客戶收到假冒組織的釣魚郵件都會在心中給企業形象打負分,致使品牌信譽受損。一旦公司被攻擊的消息擴散,原來越多的客戶會因擔心身份信息遭竊而轉向企業競爭者。
降低聲譽損失
品牌信譽指客戶對品牌的信任程度。即使企業已擁有強大客戶群,提供卓越產品或服務,請別忘了網絡攻擊者也能利用同等優勢,通過精心準備而提取企業的關鍵信息。品牌成功不僅僅取決於銷售額,在很大程度上還依賴於企業保護客戶及其信息的能力。因此,構建安全架構使企業與客戶安全地開展業務活動是企業的一個基本需求。
一旦出現數據丟失,媒體便立即會對攻擊事件進行各種分析,大肆渲染。因此,建議企業製定預案處理此類事件。企業應坦率地講出攻擊事實,然後就攻擊原因和過程給出合理解釋。這將說明事態已在企業的控製之中。若您尚未弄清攻擊實情,請勿讓媒體對您指手畫腳,直至您徹底查明攻擊原由。
請勿責怪第三方,除非您100%確定此次攻擊事件屬於第三方責任範圍,且您的合同允許您這樣做。重建客戶信任的最有效途徑是立即就此次攻擊事件道歉,並明確如何降低損失。
導致拒絕服務
企業在節日期間會麵臨更多釣魚欺詐郵件和DoS攻擊。2014年,著名的索尼影業遭黑客攻擊事件就始於員工點擊了釣魚郵件。時隔兩年,DoS攻擊愈發猖獗。若某人想損害您的業務,節日期間是最佳攻擊時機。因為節日期間是業務最繁忙的時候,發起攻擊可造成重大財務損失。
盡管DoS攻擊造成的財務損失為直接損失且因行業而異,但依賴互聯網開展業務活動的組織最易中招。除了收益,財務損失還包括攻擊調查和響應開銷、客戶支持費用和經濟訴訟以及導致的聲譽損失和生產力損失代價。
在線客戶通常希望可方便快速地獲取信息。微軟稱,如果你的站點速度比競爭對手慢250毫秒以上,客戶可能會對你失去興趣。此外,若客戶無法加載網站獲取特定信息、進行采購或使用特殊服務,會感到非常不滿。
盡管DoS攻擊對業務的整體影響難以評估,但企業在財務損失、客戶流動率和聲譽損失方麵付出了高昂代價,這一點毋庸置疑。
避免損失
雖然我們不能完全避免此類攻擊事件,但在一定程度上可防止攻擊發生。
首先,確保您的公共web服務和其他服務在雲端運行或與物理基礎設施隔離。這樣,一旦DoS攻擊發生,僅對網頁有影響,不會波及其他服務。
其次,確保公共托管服務提供商提供抗DoS服務。完善的端點防護必定能攔截大量釣魚郵件,否則員工可能會無意點擊這些郵件。基於這種情況,應對員工進行培訓,使其提高警惕,了解如何應對可疑釣魚欺詐。
此外,對公司重要業務如Twitter和Facebook上的公共主頁開啟雙重認證。啟用雙重認證後,密碼即使被竊取也沒有什麼危險。甚至對於那些未采用雙重認證的服務,也要采用唯一密碼,並在容器中加固。這樣,盡管密碼被竊取,攻擊者也無法獲得企業的完全訪問權。
本文作者:綠盟科技
來源:51CTO
最後更新:2017-11-02 17:04:30