美国网络安全与基础设施安全局(CISA):钓鱼攻击指导——如何在第一阶段阻止攻击周期
我们刚刚讨论了对手如何伪装成招聘人员以接触你的开发者,但如果我们将剧本反转呢?想象一下,你的招聘人员正在寻找填补 IT 岗位的人——他们却不知不觉地掉进了陷阱。
在如今以远程为主的工作环境中,许多公司正在招聘来自美国各地的求职者。假设在招聘人员收到的数百份申请中,只有少数几份特别出色。你通过视频会议与他们交谈,他们看起来都很正常。有些人稍显羞涩和笨拙,但毕竟你招聘的是 IT 岗位,而不是销售。
经过面试流程后,大家决定向一位名叫 Joanna Smith 的候选人发出录用邀请。她加入团队后表现得还不错。虽然她有点笨拙,而且经常回避会议,但总体来说她工作效率很高,并且能按时完成工作。
一年后,由于公司裁员,你和领导层做出了一个艰难的决定:解雇Joanna,作为新一轮裁员的一部分。她似乎有点愤怒,但这可以理解。没有人喜欢被解雇。然而,过了一段时间,你却发现她威胁要公开公司的所有数据,除非你支付赎金。于是你开始调查事情的真相……而这时情况变得令人恐惧。
“Joanna Smith” 似乎是一个化名。她的所有流量都通过 VPN 之类的匿名服务被转发到美国。在她任职期间,以及在你撤销她的访问权限之前,Joanna 实际上获得了比你意识到的更多内部文件的权限。她似乎已经下载了所有这些文件,并以此威胁你的公司支付赎金。惊慌之下,你可能选择支付一笔象征性的金额,希望能让问题消失,但你低估了她(或者他们)。
支付了最初的赎金并未再收到她的消息后,你发现 Joanna 已将系统访问权限授予了几个你无法识别的实体。公司的所有机密都已被泄露,而你几乎无力挽回。解开这场混乱并清理后续影响将耗费漫长的时间。
你现在或许已经拼凑出了事情的来龙去脉。“Joanna Smith” 是个化名。更具体地说,这个化名是由像朝鲜特工这样的高级对手精心策划的一场行动的掩护。
这场行动的目标有两个:
-
将工资转入攻击者的账户中;
-
获取公司系统的访问权限,以便后续利用。
或许令人意外的是,Joanna 确实做了一年的工作。除了完成任务之外,她还利用这段时间向一些间谍提供了公司系统的访问权限,让他们能够深入探查。在整个过程中,这些间谍窃取了所有信息,并深深嵌入到公司的 IT 系统中。你遭遇了最为复杂和老练的攻击者。
与直觉上相反,应对这种情况比防止普通员工陷入骗局要稍微简单一些。与其努力让组织中的每个人都避免安装恶意软件,不如专注于优化招聘流程。具体来说,你需要确保你试图雇佣并发送设备的人确实是他们声称的身份,同时也需要确保面试官能够及时提出任何可疑之处,这些可能表明候选人存在欺骗行为。虽然没有绝对万无一失的解决方案,但至少可以采取一些措施来预防类似事件的发生。