一位“秘书”打电话通知管理部门,需要紧急访问某些信息,但是忘记了新的口令。这时,您千万要慎重行事,因为这里极有可能隐藏着弥天的安全陷阱。
安全陷阱无处不在,茫茫网络世界,潜伏着各式各样的威胁。
威胁不只11种
电子兜售
有电子邮箱的人会经常收到推销各种商品和服务的电子邮件,这些邮件被称为兜售(Spam),这是网络时代很普遍的现象。
Spam这个词来自一首美国歌曲,歌曲的名字就叫做Spam Spam Spam Spam,给人似乎是无尽重复的感觉,这恰好说明了这种推销的特点。
过去进行传统推销的人和公司认识到电子邮件的便利性和低廉性,把电子邮件推销看成是比传统的广告方式更为有效的手段。
但是对于一个经常利用电子邮件系统执行业务活动的组织来说,这是一种潜在的危险。因为经常收到无关邮件会影响组织的工作效率。如果有组织成员或者经由组织的服务器进行这种兜售,可能会引起接收者的愤怒,甚至会危及组织的声誉。
论坛
在BBS发帖子就某个问题进行讨论和争论,一般是匿名的个人行为。如果组织成员以组织的名义参与其中,或者泄露组织的保密信息,同样可能会给所在组织造成麻烦。因为有些帖子可能被滥用和扩大范围,从而引起争论甚至法律诉讼。
破解者
在黑客世界中,从事合法破解工作的黑客自称为武士、网络牛仔或者电子锁匠。他们通过破解电子文件来探听政治集团或者经济集团内部的信息。他们对以犯罪为目的的破解者采取鄙视态度,反对黑客的伦理,他们援引古典的武士教义作为自己的行为准则。
武士通常遵守自己的道德规范,忠于雇主,一旦被其他组织雇佣,同样会对原来的组织造成安全威胁。
炉渣程序
它指一旦执行就会使计算机的系统文件和数据无法使用软件程序。
炉渣程序和逻辑炸弹联合使用危害更大,曾经有黑客利用炉渣程序向银行敲诈,只有银行交出足够的赎金,黑客才会告诉他们炉渣程序的位置,并且交出让炉渣程序失效的惰化程序。
电子窃听
它指当两个人谈话时,有第三者偷听。
电子窃听是一种非授权的数据监控,包括远程接收设备和记录设备截获电话、传真、电子邮件等传输数据,甚至可以利用无线电对移动通信进行监听。
对于一个组织,应该防止自己的机密信息在传输过程中被窃听,比如用户的登录名、口令、财务数据、敏感信息、活动计划等。
哄骗和化装
在信息安全领域,这些词汇是指在网络上将自己装扮成别人去执行某些动作。比如通过截获、修改、重传数据去欺骗接受者,或者进行黑客攻击等。
社会工程
它指在现实中通过装扮成某个合法的角色获取信息,一般不需要使用什么特别的技术。社会工程通常借助电话的帮助,发起隐蔽的恶意攻击。
例如:一位“高级职员”打电话给IT支持部门,说自己忘记了口令,并且情况紧急,需要他们马上查出来告诉他;
一位“秘书”打电话通知管理部门,需要紧急访问某些信息,但是忘记了新的口令;
一位“技术支持工程师”打电话给系统管理人员说已经收到错误日志,需要进行进一步的测试,但是需要访问某个计算机系统,进一步获取详细信息;
有其他部门的“同事”打电话通知另一个部门的同事,告诉他,他负责的工作因为某种原因要中断几天,他可以休假几天。通知者明知这位同事在休假期间是不会使用网络账户的。
