一起聊聊:那些让安全工程师抓狂的逗比用户

微信号:freebuf

文章所述均基于真实故事。不过为了避免主人公在公众面前出丑,文章处理了他们的身份。如有雷同,绝非巧合。

我和我的小伙伴们都惊呆了

作为一名安全专家,有时候你只能双手捂脸痛哭;不过有时候人们干的那些将企业置于风险境地的事儿又会让你惊得下巴都能掉下来。下面就是这样一些基于真实生活的场景。

(1)试试开机?

有一天,我不小心偷听到技术支持接听的一通电话,我很诧异这个小伙(内部员工)为什么对技术支持一顿狂吼加狂虐。于是,我插手此事并试着救场。我大概查看了下小伙那台不会启动的台式电脑有什么问题。他确信自己被黑了。然后他说显示器的电源指示灯是黄色的。我顿了顿,深吸一口气,然后问他电脑上的灯是什么颜色。他回答说“那儿没你说的破灯。”我让他把电脑打开。这次轮到他愣神了……他清了清喉咙……对我们表示感谢然后把电话挂了。随后他跟HR童鞋进行了一次促膝长谈。

(2)至少他们没把“password”当密码

一次,一个调查小组通知用户说他的账户可能已经被攻陷了,有人知道了他的密码,所以他需要改一下,这哥们儿听倒是听了,但效果却不敢让人恭维。比如说他的密码是trustno1,你猜怎么着,他改成了trustno2。就好像窃取他密码的黑客智商不够不会尝试大一个的数字似的。这里给大家提个醒儿:黑客一般都非常聪明,而且也够聪明,所以能想到尝试所有此类变化。

(3)是谁把邮件隔离的?

曾经有一次,我们公司成了一次钓鱼攻击的靶子,于是我们跟员工做了很多沟通,通知他们在点击链接时一定要小心。同时我们启动了邮件过滤工具确保这些钓鱼邮件被隔离。但我们就有这样一个用户,他进入隔离邮箱并提取出了邮件,之后回到收件箱,目的就是能点击到这个链接......然后,他用恶意软件感染了自己的机器。

(4)我赢了,我赢了……但却丢掉了工作

我们之前的一名系统管理员想通过提交在线技术视频赢得1000美元的奖金。所以他举着一台摄像机到了安全数据中心然后录制了客户非常敏感的设备信息。后来客户打电话报告说他们在网上看到了自己的信息。要揪出制作视频的人并不难。于是这名系统管理员损失了一个9万美元的工作,虽然赢取了1000美元的奖励!

(5)我只不过是想把USB放到一个安全的地方

公司规定,不准将敏感的公司数据复制到非公司系统中。我们发现一名经理将敏感数据拷到了个人USB设备。她说自己需要给数据做个备份,以防在旅行时汽车里的笔记本电脑丢失/或被盗。我问她把USB放办公室了还是家里。她回答说,“都没有”,她把USB放到了电脑包里,还是跟笔记本放在一起!窃贼(最有可能的场景)有可能也把USB盗走啊!啊!啊!

(6)扔掉新员工?

从前公司有个经理,在入职第二天在公司电脑上安装了Dropbox并同步了之前公司的敏感专利信息。这种做法违背了公司原则,而且有可能将我们送上法庭!

(7)跳窗而出

一名准备离职的员工决定拿走客户数据。他将大量数据拷贝到一个USB中。公司的DLP截获了这批数据并在他的电脑屏幕上发了一条信息,告知他关于使用USB的规定。这哥们儿吓晕了,直接将USB扔到了窗外!后来公司再也没找着那个USB,而且很不幸,这是一次数据泄露事故。

(8)安全的Wi-Fi

一名公司经理解释,类似说他的无线流量是被加密的,原因是使用密码才能连接Wi-Fi!

(9)家里有这个程序,为啥不给自己发?

一名合规员工无法打开包含50万信用卡数据的文件。想起自己在家的电脑有程序可以打开文件,她把邮件给自己发了一份。

(10)永远别信任老丈人/丈母娘!

一家公司的CEO收到一份邮件,还以为是老丈人/丈母娘发来的。他打开一看才发现是钓鱼信息,拿走了他的Google凭证然后钓鱼公司的另外一名CEO。当Google提醒他再次认证时他并没有感到奇怪。钓鱼分子后来尝试诱骗CEO的助手给某账户转一笔钱。

参考来源http://www.csoonline.com,codename2015翻译,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2015-03-30

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

2014密码时代已死?六种旨在取代传统密码位置的新奇想法

今年早些时候,Adobe公司遭受数据泄露产生的的毁灭性破坏凸显出了这样一个事实现状:我们大多数人讨厌密码,而且我们中的很多人真的是非常非常的懒。 将近2...

239100
来自专栏区块链

为什么我用胶布贴住了所有电子产品的摄像头和麦克风

看过英剧《黑镜》的人,应该都知道,它专门探讨科技“黑”的那一面。 比如第三季第三集《Shut Up and Dance》,讲的就是关于“摄像头”的故事。关于剧本...

34480

黑暗领地 - 你知道你的信息在哪里吗?

原文地址:https://www.informationsecuritybuzz.com/articles/dark-territories-know-info...

12100
来自专栏非著名程序员

一起来学习老外的Android面试题

2015年7月的深圳,炎热,有一个周末正在和同事聚餐,接到了Hans的跨洋电话要我帮他做一道Android面试题。Hans是西安人,粗犷风趣又有些较真,我201...

25880
来自专栏吾真本

架构操练Kata:敏捷出版社

http://nealford.com/katas/list.html;译者:伍斌、王瑞鹏

13550
来自专栏轮子工厂

Hi,传说中的《超级搜索术》你看了吗?来看看小编的超级总结吧!

“人生中80%的问题,早就被人回答过,你只要搜索就好。剩下的20%,你才需要研究。”今天跟大家聊一聊朱丹老师的《超级搜索术》。你以为我是来给你安利课程的?才不是...

1.2K40
来自专栏最新活动

AMD 1G内存1M带宽50G盘 服务器拼团活动

链接: https://cloud.tencent.com/act/group/amd/detail?group=54487 买3个月送1个月,最多买一年送4...

16800
来自专栏斑斓

用户体验设计与习惯的因袭

一个月前,微信公众平台的文章编辑器改版。我以为会有重大突破,阅读了公告,因为抱着期待的心态而过分高估,结果是微微的失望。然而,我还没有到“如鲠在喉”的地步,于是...

45160
来自专栏区块链

如何保护自己的网络信息安全

近年来,在智能生活概念兴起的同时,关于网络信息安全的违法案例也是屡见不鲜。中南大的仙女特别多,那么保护自己的隐私安全无疑是重中之重。君不见:女生女生请学长帮忙修...

35180
来自专栏opengps

openGPS.cn - 关于手机号定位方面的个人理解

原文发布于我的个人站点 openGPS.cn ,文章更新均已此源头连接为准         自从小编我做了openGPS.cn这个站点以来,虽然懒于打理,...

76980

扫码关注云+社区

领取腾讯云代金券