Doxing可以对企业造成意想不到的影响

这就有点像身份盗窃一样了。通过doxxing获取某些不为人知的信息的人，总会不择手段地去挖掘一切。比如跟踪目标的社交媒体档案、 寻找宠物的名字、甚至是婚前姓名或其他可能用来猜测密码或回答安全验证问题的线索。然而, 与身份盗窃不同的是, 这种行为的目的通常是报复、骚扰或羞辱, 而不是简单地图财。因为一旦受害者的个人信息被公开, 就不知道其他互联网用户会对他们做些什么了。

"Doxxing"也可以拼作"doxing", 它指的是利用互联网发布和收集个人和私人信息, 然后在网上公布这些信息(也就是我们通常所理解的“人肉”)。这个词源自"文件"这个词, 它是"dropping dox"的缩写, 这种报复方法可以追溯到上世纪90年代初的黑客文化。

然而，当doxing的攻击对象是企业部门时，攻击者受到攻击成本的阻碍较少，因为潜在的金融回报要大得多。为了收集尽可能多的公司机密信息，攻击者在攻击个人用户时使用了比以前更多样化的方法，我们将在本文中讨论这些方法。

从公开来源收集有关公司的信息

攻击者可以采取的第一个也是最简单的方法就是从可公开访问的来源收集数据，互联网可以为攻击者提供各种有用的信息，例如员工的姓名和职位，包括在公司中担任重要职位的员工。这些关键职位包括首席执行官、人力资源部总监和总会计师。

例如，如果LinkedIn显示公司的首席执行官与总会计师或人事部门负责人是“朋友”，而这些人也与他们的直接下属是朋友，那么攻击者只需要知道他们的个人姓名即可轻松确定公司的层次结构，并使用此信息进行后续攻击。

在诸如Facebook等不那么专业的社交网站上，许多用户会显示他们的工作地点，也会发布大量的个人信息，包括休闲照片和他们去过的特定餐馆和健身房。你可能认为这类信息对于攻击公司来说是无用的，因为这些个人信息实际上与公司无关，也不包含可能危害公司或帐户所有者的数据。但是，通过后面的讲解，你会惊讶地发现这些信息对于攻击者真的有多大用处。

使用可公开访问的数据进行的攻击：BEC

员工的个人信息实际上可以用来设置BEC攻击，BEC (Business E-mail Compromise)是一种针对企业部门的有针对性的攻击，攻击者通过伪装成不同的员工(包括他们的上级)或合作伙伴公司的代表，开始与某个组织的员工进行电子邮件通信。攻击者这样做是为了在最终说服受害者执行某些操作(如发送机密数据或将资金转移到攻击者控制的账户)之前获得受害者的信任。最新发布的《2020年互联网犯罪报告》显示，商业电子邮件泄漏(BEC)诈骗2020年给企业造成的损失超过18亿美元。根据FBI公布的统计结果，BEC攻击造成的损失比勒索软件造成的损失严重64倍。

报告显示，2020年美国联邦调查局接获的投诉和经济损失金额创下新高，互联网犯罪投诉中心(IC3)去年收到791,790宗投诉，较2019年增长69%，造成超过40亿美元的损失。

尽管勒索软件往往在网络犯罪的头条新闻中占据主导地位，但是与商业电子邮件欺诈造成的损失相比却是小巫见大巫。虽然大多数投诉是针对网络钓鱼，未付款/未送达诈骗和勒索，但大约一半的损失是由商业电子邮件欺诈(BEC)、信任诈骗以及投资欺诈造成的。

Agari威胁研究高级总监Crane Hassold说。“勒索软件是最受媒体关注的话题，但仅占网络犯罪损失的1%。BEC占去年所有网络攻击损失的37%。这是一个令人发指的数字。鉴于‘欺骗’可能是BEC的一部分，因此总损失额接近21亿美元。”

攻击者一般通过鱼叉式钓鱼、社会工程学、恶意软件等方式实施攻击。他们会提前做足了功课，了解受害者的基本信息，对高管了如指掌，同时了解公司的组织架构和汇报流程机制等。明白针对谁，冒充谁，怎么说，什么时候说等，攻击者可以把邮件骗局编造得天衣无缝、真实可信，受害者们很难发现和识破。

比如在一家大公司的个人主页上，一名员工发布了一张天真无邪的海景照片，并评论说他还有三周的假期。几天后，公司会计部门的邮箱收到一封来自休假员工的电子邮件，要求将他的工资存入另一家银行的一张卡上。邮件发送者要求他们尽快处理这件事，并解释说他不能接任何电话，因为他生病了，不能讲电话。

（编辑：常州站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!