由 dawei
与个人身份信息(PII)数据相比,非个人身份信息给人们带来的危害更大。这是因为非PII数据就其本质而言,比PII数据受到的保护更少且分布更广泛。
攻击者可以通过了解个人兴趣和志向等非PII信息,与目标建立密切的信任关系。这与我们在现实世界中确立友谊的方式不尽相同。人们喜欢通过分享兴趣的方式建立熟悉感和信任感,网络钓鱼和社会工程能够发挥作用的原因亦是如此。
通过非PII数据获取更多信任就像一个“跳板”。其原理是,如果你在平平无奇的小事上进行互动并建立信任关系,那么将这种信任慢慢转移到其他敏感事情上也会容易得多。
例如,黑客得知目标企业使用特定的薪资处理服务提供商,他就可以伪装成该提供商工作人员,并致电目标组织的人力资源或薪资部门,表示薪资处理系统将做出调整,具体指令将在几周内发布,并为这种调整可能带来的不便道歉,然后挂断电话。
因为受害者在第一次通话时没有被要求做任何有风险的事情,所以他们会更容易信任该致电着。他们甚至会感同身受地同情致电者,因为他们也经历过系统升级带来的烦恼。
之后,黑客可能还会致电一两次,同样不是要求受害者采取任何行动,只是做一些能够增进关系和信任感的事情。然后在未来某个时间点,黑客会以下达“新指令”为由采取行动。由于已经获取了充分的信任,所以受害者往往会在不像其他人验证的情况下,盲目遵循攻击者的指令行事。接下来的后果可想而知,受害组织会损失数十万至数百万美元不等。而且这种事情几乎每天都在发生。