投资专业人士需要关注下网络安全保障薄弱给各种规模的资产管理公司带来的威胁。
网络犯罪和网络间谍每年给美国带来约1000亿美元的经济损失,在世界范围内的影响为近3000亿美元的损失。随着网络攻击频率与严重性的增加,这样的数字预计还会持续上升。
网络犯罪的受害企业可能面临让客户完全失去信心的问题。薄弱的网络安全保障可以造成多大的损失?读读前段时间关于美国家得宝(Home Depot)、摩根大通以及益博瑞(Experian)等公司数据泄漏的头条新闻,便可略知一二。
对于资产管理公司网络安全管理松懈的问题,,还已经对有数据泄露风险的企业发表了谴责并进行了罚款。
尽管最近有很多关于网络安全的宣传,很多人仍然质疑资产管理公司是否需要这方面的培训。毕竟有这样的观点存在:黑客为什么会把资产管理行业当成攻击目标呢?投资专业人士的工作已经很忙了,为什么还要费心去了解一些如此偏技术领域的东西呢?
如果是10年前的话,这些还算是像样的问题....
而黑客就是在对方没有心理准备的情况下进行攻击的,攻击对象的“漠不关心”就是给他们的最强大的武器。“网络攻击不会发生在我身上”这句话是黑客们最喜欢听到的。对网络安全关注的普遍缺乏,加之在线存储的大量客户财富与保密信息——黑客们为什么要把资产管理行业作为主要攻击目标的原因不言而喻。
不过,投资专业人士对网络安全的漠不关心是多少可以理解的,因为这方面的培训大都是晦涩难懂且难以让人产生兴趣的。其实不必如此,黑客入侵实际上是一个相当有趣的过程。我们来设想一下黑客攻击:
每个人都在网上留下了“踪迹”:网站访问痕迹、购物记录等等。黑客有办法可以追踪到这些信息,这个过程俗称“踩点”,是所有网络攻击最重要也是最容易被忽视的环节。这一步骤是不受限制的、合法、难以预防且几乎监测不到。
假设一个网络罪犯想要获取关于某公司高净值客户的机密信息。首先要搜索这家公司的领英(Linkedin)页面,掌握其投资组合管理团队的成员信息,这些人拥有访问客户数据库的权限。然后特别关注到一位社交媒体的重度用户,通过这个人的网络足迹可以了解到其个人电子邮件的信息、社交圈以及上网习惯。
接下来,通过端口扫描工具和此人最近的推特状态更新,网络罪犯发现其经常在午休时间用公司的电脑来处理个人事务。
网络罪犯浏览了攻击目标在社交媒体上发的帖子,得知他打算出席一个非盈利志愿者组织A的筹款活动,还发现他是这个团体的董事会成员和长期支持者。
根据这个信息,网络罪犯制造了一封可信的定向钓鱼邮件。为了骗过攻击目标,黑客购买了一个和志愿者组织A的网址非常相似的网址,并仿照其品牌标识创建立了一个电子邮件模板。
黑客以假冒的志愿者组织A的邮件地址向攻击目标发送了信息。他知道如何引攻击对象“上钩”,并将邮件内容编写为出席筹款活动的座位确认。网络罪犯还特意选在攻击对象吃午餐的时间发出邮件,这个时间段正是他通常处理个人事务的时候,这样可以确保他能收到这封钓鱼邮件。然后不知情的攻击对象真的“上钩”了,他点击了电子邮件中的“确认”按钮。
网络罪犯已经在伪造的“确认”链接中嵌入了一个恶意软件,即“远程控制工具”。一旦攻击对象点击了“确认”链接,黑客便可以完全操控其工作电脑,然后用这台电脑下载成千上万的机密客户文件。
网络罪犯利用盗取的机密客户文件来获得非法信贷额度,并伪造可以用于未来攻击的多个身份。此外,将数据上传到暗网,通过信息交易卖给其他网络罪犯。黑客成功攻击该公司的消息就这样会匿名泄露给媒体。数据泄露细节被广泛传播会严重损害公司声誉。
在把上述的攻击对象说成一个倒霉的受害者前,可以先想想他犯的错误是多么常见和低级。事实上,许多受过良好教育和有见识的专业人士每天都犯着同样的错误。
不过,避免这样的错误与防止这样的攻击并非没有可能。这里有几个建议:
留意自己在社交媒体上的分享。黑客是通过利用公开信息来建立其伪造信息的可信度,让其攻击方法“无懈可击”。频繁发布位置、兴趣、同事或者爱好相关的内容对网络罪犯而言正好是一个可供其利用的庞大信息库,他们可以从中找到令人信服的伪造信息的依据,并明确你的网络安全漏洞。
避免在敏感的机器上处理个人事务,例如工作用的电脑。分开使用设备可以防止黑客获取并利用到少有安全防护的个人账户。
放松警惕时请“居安思危”。过于信任或者愿意相信看起来没什么问题的事物,对黑客来说就是可以利用的地方。网络犯罪的惯犯会精心设计自己的攻击,让其看上去是来自可靠的来源,比如同事、朋友或心爱之人。在点击收到信息里的任何链接之前,请检查发件人的邮件地址和其中的网址链接。
希望以上内容能成为深刻灌输网络安全意识的一剂良药。培养这样一种“多疑职业病”很重要,可以提高警惕,不在社交媒体上过多分享信息,不随意使用“password123”这样的密码来锁定工作电脑。
在网络安全世界里,知识就是力量。对黑客如何思考和进行攻击“窥一斑”,可以更好地准备预防以后的潜在攻击,并为打击网络犯罪出一份力。