在對企業(yè)展開針對性攻擊時,攻擊者有時會采取翻垃圾的方式�,指望從中取得有價值的信息���。在現實中,那種“駭客出擊”的把戲���,是不太可能從垃圾桶里守株待兔得到50個有效的密碼的。然而���,網絡犯罪分子還是有機會從企業(yè)的垃圾中找到許多有價值的信息��。
█ 哪些東西不能扔進垃圾桶
就算是最樂觀的拾荒者����,也不指望能從垃圾桶里淘到標著“最高機密”的文件集�。再說,這些人幾乎不用非得找到什么超級機密才能抹黑公司���、發(fā)動針對性攻擊���。只需拿到任何有關公司的丑事或信息的殘片,他們就能通過社會工程學手段對員工實施詐騙��。
█ 不宜泄露的垃圾
假如您沒有那么冒失�����,不至于一不小心就把不體面的賬務證據、有關您的企業(yè)破壞環(huán)境的報告給泄露出去�,那么您的弱點就在于您的個人數據,包括客戶信息和員工信息����。如今,這類信息一旦泄露�����,就會引來監(jiān)管機構的注意�����,以及高額的罰款�。
然而直到今天,我們見過的因個人數據泄露引發(fā)的案例層出不窮��。盡管有很多前車之鑒�����,很多員工依然沒有充分的認識,比如他們不會認為披薩送餐地址就屬于機密信息���。更讓人憂心的是����,大家甚至會不經意間泄露帶有社保號碼的病歷����、帶有銀行卡詳細信息的付款發(fā)票�����,以及身份證件的掃描件����。
█ 網絡犯罪分子能從社會工程學攻擊中得到什么
不法分子可以把從不小心遺失的工作文檔、信封和數字存儲介質中發(fā)現的信息變成他們的武器�。
工作文件,即便是不包含機密數據的文件����,也可以體現出團隊在做的工作,其中使用的術語����、公司已經完成的流程��,甚至更多�����。利用這些信息�����,攻擊者可以通過電子郵件甚至電話冒充工作過程中的參與者����,以便套取更多信息或發(fā)起受信任的BEC攻擊����。
信封。商務信函的信封上面總是會寫明收件人和發(fā)件人����。例如,當網絡犯罪分子得知����,甲公司的員工從乙公司的代表那里收到了紙質文件,他們就能以令人信服的請求與收件人聯系以進行澄清,或是發(fā)布一封假裝確認收到紙質文件的電子郵件��,并在其中加入惡意鏈接�。
數字媒體。這可是名副其實的信息寶庫��。在損壞的智能手機中可以找到聯系人和消息列表�����,這樣一來就能輕松假扮成這個手機的前任主人�����。在閃存驅動器����,甚至在丟掉的硬盤中都包含了大量工作文檔和個人數據����。
一般來講,就算是帶有公司員工名字的外賣袋子�����,也會給不法分子創(chuàng)造機會。比如說��,他們會發(fā)布標著特價菜單或售后調查的釣魚鏈接����。當然這種情況并不常見,但也屬于真實案例����。
█ 怎樣正確處理企業(yè)垃圾
首先,我們建議盡量減少或避免使用紙質存儲介質����。這樣做不僅有助于拯救地球,而且還巧妙地避免了處置問題����。
第一,銷毀所有與公司工作有關的紙質文件��。注意是所有���,而不僅是那些包含個人數據的��。包括信封在內�,全部粉碎。
數字媒體 (硬盤和閃存存儲)不能扔進垃圾箱���。您要做的是以物理方式使它們無法再被使用���,并將其送到電子回收中心。用鉗子破壞磁盤和閃存驅動器����。硬盤就用電鉆或電錘來破壞。注意����,每部手機里都有一個閃存驅動器,每臺電腦中都有一個硬盤驅動器��。如果你要把它們中的任何一個扔掉����,首先要確保它們的數據已不可讀�。
在扔掉包裹或外賣袋子之前,將任何帶有收件人姓名和地址的標簽撕下并銷毀���。
請記住����,您的業(yè)務安全直接取決于從前臺到高管人員的所有公司員工,所有人都要理解并遵守這些規(guī)則���。不管身在哪個職位���,每個人都得掌握有關處理潛在危險信息的基本實踐知識。
