网络犯罪分子如何利用线上和线下的公共数据来攻击企业员工

据报道，一篇LinkedIn关于发布工作职位的帖子变成了一个潜在的网络钓鱼骗局，类似的事件比人们想象的更加常见。

网络攻击者攻击新员工的方式和原因

例如，一家企业录用了一名实习生，并为他提供了办公室的钥匙、网络登录方式和电子邮件地址，当然在工作中他也使用私人邮箱和手机。根据企业的规模，如果使用多因素身份验证，还需要在他们的手机上安装双因素身份验证应用程序，或者为他们提供工作的电话。新员工可能在刚入职之后的一段时间会很忙，因为要学习和使用很多新技术。这可能会让他们不知所措，也会备感压力，因为新员工急切地希望融入工作并适应工作环境。

这也是网络攻击者试图利用的时候，他们寻找渴望积极表现的新员工。例如，网络攻击者在新员工适应企业工作环境时攻击他们。向他们发布的一些邮件的内容在开始时很正常。例如，网络攻击者发了一封电子邮件要求实习生协助快速完成一个项目，这封电子邮件表示，企业管理者正在召开一次闭门会议。要求迅速完成一项任务。这封邮件最后要求新员工尽快转发他的手机号码。

网络攻击者如何了解新员工的状况?他们从员工用于业务联系的工具开始，使用更加个性化网络钓鱼方式。网络攻击者通过监控LinkedIn等商业网站，将一名新聘用的会计实习生与企业的一名合伙人联系起来。网络攻击者发布了一封电子邮件，看起来像是来自合作伙伴，要求实习生为他们提供帮助。他们再次要求新员工提供手机号码，以便发送短信。

这些电子邮件多次进入该公司的商业电子邮箱，但没有被识别为垃圾邮件或被邮件过滤工具识别为钓鱼诱饵。这些电子邮件没有足够的触发器，并完全突破了这家公司现有的电子邮件和端点检测与响应(EDR)措施。

网络攻击者以Uber和Twilio员工为目标

最近的Uber漏洞事件显然是因为网络攻击者诱骗了管理员，让他批准了一个虚假的多因素身份认证(MFA)请求。网络攻击者通过WhatsApp要求管理员提供更多信息，以获得他们的信任，并批准多因素身份认证(MFA)请求。目前尚不清楚网络攻击者是否利用社交媒体工具获取更多信息。

Twilio公司最近透露，网络攻击者以其员工为目标，并能够将其消息来源的员工姓名与他们的电话号码相匹配。网络攻击者能够利用公开可用的数据库建立一对一关系来攻击目标。

如何减轻社交媒体引发的攻击

SocialProof Security公司的Rachel Tobac在推特上证实，网络攻击者正在使用商业工具攻击大型企业和中小型企业。她建议，企业不再在LinkedIn上列出员工信息或招募新员工，而是使用数据删除服务从LinkedIn和其他公司维护的数据库中提取信息。

作为数据删除请求的接收端，发现删除请求暴露的信息可能比数据库中最初的信息更多。一个站点可能只有电子邮件地址，但是数据删除请求也会暴露用户的全名。考虑网站的声誉及其数据删除的跟踪记录。现在网上有如此多的信息，以至于并不能真正从网络中摆脱出来。

当企业雇佣新员工时，让他们充分意识到这些类型的攻击和对企业的风险。敦促新员工不要发布与他们有关的新工作或职位的信息，或者限制只在可信的联系人中发布信息。员工应该确切地知道来自企业的沟通会使用什么方法。让企业的信息安全团队实施“假设”桌面练习，以确保员工知道如何适当地响应安全提示。并且让他们意识到，网络攻击者可能会把企业里的任何人作为攻击目标。

网络攻击者也使用在现实世界中共享的数据

分享过多的个人信息不仅仅是一个网络问题。即使是开车出行，也会暴露大量的信息。也许有人在汽车保险杠上贴上孩子学校的一张贴纸，这表明孩子在哪里上学。如果有人想追踪就很容易记住。或者车上是否有停车证或其他标识工作地点的贴纸?因此需要考虑一下自己驾驶的汽车能在多大程度上识别出来，以及那些试图攻击所在企业的人员将会做什么。

在技术领域，人们常常习惯于通过捷径来完成工作，这容易遭受有针对性的攻击。如果网络攻击者对其行为有足够的了解，就可以相应地进行攻击。因此，企业需要花费一些时间，不仅要消除技术壁垒，还要提供教育和培训。需要记住的是，如果企业的基础设施可能因为某个随机用户的错误决策而受到损害，那么问题并不一定出在用户身上。这是因为企业可能设置了失败的流程，没有帮助他们如何做出正确的选择。