被人们称为“姊妹会议”的Black Hat和Def Con大年夜会将于本周进行,来自全球的安然专家和黑客们将堆积美国拉斯维加斯共话安然标题问题。安然厂商和媒体也会在每年的这个时辰供给良多常规的安然建议,可是来自Social-Engineer公司的Chris Hadnagy有额外的设法,他将安然隐患的泉源聚焦于报酬身分。
社会工程报复打击本应是每个安然会议的话题之一,但是事实并不是如斯。人的感化不成小觑——正如《CSO》比来发布的一个故事所述,人常常是安然链中最亏弱的一环。在如许的布景下,Hadnagy在一篇博客文章中列举了9条建议,帮忙在拉斯维加斯开会的人们避开社会工程报复打击。
第一条建议是关于各类文件的措置,好比与行程有关的文件,各类收据和其他敏感文件。当人们需要措置掉落这些文件的时辰,垃圾箱便是最大年夜的威胁。从垃圾中汇集信息,听起来不太可能,并且很恶心,但事实就是如许!敏感信息老是被直接扔掉落,而酒店的垃圾箱又很等闲被人找到。
鉴于酒店房间的安然实际,Hadnagy提示人们不要过度信赖。DEF CON大年夜会曾会商过这个标题问题,房间门锁可以轻松打开。一样,假定德律风铃响时,请记住永不流露敏感信息,即便你知道通话的对象是谁。
“永久不要在德律风中说出敏感信息,出格是在你接听的时辰。在利用银行、诺言卡和其他敏感帐户时直接拨打公开的办事德律风号码,避免遭到语音垂钓报复打击。”
在会上与他人交往(包含与会者和酒店的工作人员),要谨慎勾引、乃至奸刁地套守信息的行动,避免在谈话中谈及各类帐户信息。
“有良多看似可有可无的扳谈,实际上却可以给谙练的报复打击者供给有价值的信息。”Hadnagy弥补道。
社交媒体是另外一个首要的考虑身分。在插手会议之前,人们要确保安然地拜候Facebook,Twitter或LinkedIn账户,与此同时寄望谁在和你互动。
“我们都利用社会化媒体,经由过程它能便利地分享状况,或找到很酷的点子,彼此评论并组织线下勾当,”Hadnagy诠释。“但是,你不克不及想当然地觉得你存眷和正常扳谈的人不是装出来的。”
是以,利用社交收集必然要谨慎。同时还应寄望以下几点:始终利用HTTPS连接;利用双认证办法来验证更改;大白本身点击的链接是不是安然。
最后,Hadnagy劝大年夜家三思而后行,并在任甚么时辰候利用攻讦性思惟手艺。