 歷史上到目前為止,地球人民所經歷過的有:地震 、淹水、海嘯、 森林大火、 山崩、 颱風、 龍捲風、SARS、H1N1、MERS、伊波拉、 HIV、愛滋、 茲卡。 而現在有了 COVID-19,也稱為新冠狀病毒。 天災和流行傳染病有很多共同點,包括人類生命的失去。 但其實還存在著一個更黑暗,更險惡的連鎖反應 - 駭客們利用這樣的機會來傳播惡意程式,開始了網路釣魚和交叉式活動,再利用情感來進行欺詐。 新冠狀病毒(也稱為COVID-19)就是這種情況。  利用恐懼來幫助和教唆詐財 駭客們不會把自己設限於惡意程式。 FDA 還發出警告消費者有關騙人的產品,這些產品 “聲稱可以預防,治療,減輕,診斷或治愈 2019 年新冠狀病毒(COVID-19)”。 這次是一個全面性的詐欺。 在 2019 年 12 月,SentinelLabs 發布了關於網路犯罪組織 TrickBot (APT 進階持續性滲透攻擊) 與北韓之間關係的突破性報告。 報告表示當對收件人部署了有效心理攻勢之後,TrickBots 功能的使用就會放大。 最近,SentinelLabs 發現了一個使用來自加拿大當局發送關於新冠狀病毒醫療通知後,間接對金融機構發送惡意程式的攻擊。 Johns Hopkins 和 CSSE (Center for Systems, Science, and Engineering) 共同開發了一個依照國家,地區,州和城市中被 COVID-19 的傳染人數來呈現的一個地圖 。 到 2020 年 3 月 10 日,按感染人數排列的國家是中國,意大利,伊朗,韓國,西班牙,法國,德國,美國和日本。 這意味著每個國家都將成為被大量網路釣魚攻擊的目標。 在設計惡意電子郵件時,內容是非常重要的。人性總是恐懼損失,相比之下,這些反應比獲得利益的可能性更好預測。 例如,你們看看以下哪個主題會產生更高的回應? “How to prevent the spread of the coronavirus in 3 easy steps.” 預防新冠病毒傳染的三步驟 “URGENT: You have been in contact with a verified coronavirus patient.” 警急: 你與一名確診病患有接觸到。 第一個主題不會引起人們對損失的恐懼,他只會產生獲得更多有關阻止冠狀病毒傳播的信息的潛力。 第二個成功的攻擊了問題的核心 – 對死亡的恐懼。 相關連的行為會影響人們對有價值的稀缺性的正面信念。 針對 COVID-19,可能是篩檢的可行性。 “Don’t lose your chance to get these hard-to-find coronavirus test kits.” 別錯失了篩檢的機會! 最後一個主題是既有對失去的恐懼,並帶有缺乏、少量的意味。 數千年來的人類進化讓我們避免了損失。 同樣的進化也增強了人類大腦的主要目的, 那就是活著。 除此之外,其餘的一切都是增加的紅利。 為什麼市民不能購買這些快篩而只有政府可以擁有並使用? 對失去的恐懼,緊迫感以及專於在 COVID-19 的媒體數量讓我們忘記常識,並迫使我們回到原始的恐懼並採取行動。 死亡,是最後的王牌。 利用人類的脆弱漏洞 犯罪份子在利用對人類情感的更多理解來執行針對性的攻擊。 社交工程基於這樣一個前提,也就是: 我可以讓你採取並控制行動,但實際上它是一個通過操縱,影響和欺騙而構成的惡意行為。 激進駭客長期以來一直依靠社會工程來執行間諜活動,system compromise,影響選舉和操控社交媒體等目標。 變臉詐騙(BEC)基於說服 email 的接收者,發件人是授權人,並且應該執行特定的行為(例如轉帳數十萬美元)。 對抗政府者和激進駭客使用的第一策略不是利用漏洞。 而是利用人類的弱點。 在本文作者為《Hill》撰寫的一篇文章中,他概述了俄羅斯如何成功地使用名為 Black Energy 的惡意程式發動第一次攻擊。 最初的方法? 據稱是烏克蘭政府發送的魚叉式網絡釣魚電子郵件。 附檔中的 Excel 要求用戶啟動 macros。 就這樣,最初的 payload 就成功了。 沒有什麼花招。 只是一種忘記常識的壓迫感(烏克蘭政府)(還有千萬不要啟用附件中的marcos)。 沒有人對社交工程是免疫的 恐懼,不確定和懷疑的心態是強大的武器。 在作者執法期間,他是專門從事連續犯罪和行為分析採訪。 讓人按下電子郵件中的連接,並沒有讓罪犯承認謀殺一個人要來的困難得多。 在 behavioral analysis 行為分析訪談(BAI)中,我分析了案例(內容)並相應提出了問題。 BAI 的目的是確定受訪者是誠實的還是個騙子。 如果對象具有欺騙性,並且看起來他們可能犯了罪,那麼該是收集事實並轉到偵訊的時候了。 但是,並非每次受訪後都會偵訊。 在偵訊過程中,目的地是使受訪者感到焦慮,以至於減輕焦慮的唯一方法就是誠實。 作者曾在國家安全局向參與美國歷史上一些最嚴重間諜活動的損害評估人員教導相同的技術。 員工點擊可疑連結或打開帶有惡意程式的檔案的原因也相同:找出答案,解除恐懼,不確定和懷疑的焦慮感受。 那這個故事的意義是什麼? 不管你進行了多少安全意識訓練,在辦公室貼了多少網路安全海報,或者通過 email 發送了多少每週提醒,最後,數十萬年的人類行為還是會勝出。 這意味著害怕失去(死亡)和自我保護(減輕焦慮/壓力)將戰勝常識。 機器說: 害怕是什麼? 但是,在黑暗中還是會出現一匹白馬,帶來一線希望。 人工智慧和機器學習的使用將平衡從攻擊者轉移到了被攻擊者身上的力量。 AI / ML 提高了檢測和預防的速度和準確度,而不是回應攻擊並從中恢復。 數千年來,根深蒂固的行為已可以通過利用應用科技來平衡。 與其要求使用者確定物件是否 “安全”,還不如從一開始就避免。 防止勒索程式攻擊要比從攻擊中恢復容易。 還有,管理好新聞要比管理壞新聞也容易得多。 人工智慧不會屈服於恐懼。 沒有情感可以操縱,也不能感染新冠狀病毒。 這或許是對於恐懼,不確定性和懷疑的完美解毒劑。 作者 Morgan是 SentinelOne 的 Chief 安全顧問,也是 Center for Digital Government 的高階院士。 他多次在國會上為大型政府系統的安全性作證,目前是 Fox News Channel 和 Fox Business Network 的首席技術分析師,負責網路安全。
0 Comments
Your comment will be posted after it is approved.
Leave a Reply. |
Categories
All
Archives
July 2020
|
RSS Feed