轻松标记：当涉及到数据泄露时，社交工程仍然有效

下一次暴露你的信息的数据泄露可能不会涉及精英黑客修改一些代码来钻入公司的系统。取而代之的是，攻击者可能只会在一封看起来很普通的电子邮件中友好地询问合适的人。

社交工程，即说服受害者为你做工作的黑客艺术，并不是什么新鲜事。但正如Verizon的2023年数据泄露调查报告所证明的那样，这种策略仍然有效。

Verizon威胁研究咨询中心的这个年度项目(打开一个新窗口)基于对VTRAC和合作伙伴组织在2021年11月1日至2022年10月31日期间归类的16,312起安全事件的分析，其中5,199起被评为数据泄露-发现这些入侵中整整74%涉及人为行为。

这一类别可能包括用户错误(最大的错误是“将东西发送给错误的收件人”)和员工滥用特权(通常是恶意的)等人为错误。但该报告的开头指出，向合适的高管发送具有说服力的电子邮件，在让收件人交出登录凭据甚至直接汇款方面尤其有效。

这种借口攻击的专有术语是商业电子邮件妥协–通常缩写为“BEC”，尽管我们更愿意看到“培根、鸡蛋和奶酪”的缩写。(打开一个新窗口)Verizon的研究人员发现，它代表了超过一半的社会工程事件。

在这份长达89页的报告中，好消息是，另一种常见的企业瘟疫–勒索软件–可能已经见顶。这份报告往往写得很厚颜无耻，也有18页的执行摘要和信息图表形式。新的报告显示，勒索软件在24%的入侵事件中占比，与上一次发布的数据大致相同。

虽然中国、俄罗斯和其他外国政府的攻击者因可能将黑客攻击作为国家政策工具而备受关注，但Verizon的报告显示，大多数公司不应感到地缘政治焦虑。相反，他们的大多数对手都只是为了钱：报告称，金融动机仍然是绝大多数入侵行为的驱动因素。报告估计，这些动机导致了94.6%的入侵行为。

这份报告是Verizon发布了十多年的一系列报告中的最新一份，但在简短的推荐清单上并没有什么新的突破。这些措施包括进行定期安全培训(希望不是人们讨厌的惩罚性培训)、建立多因素身份验证(报告错过了支持USB安全密钥和生物识别安全密钥等防网络钓鱼形式的机会)，以及制定明确的事件响应流程。

周二上午，在威瑞森华盛顿办事处举行的一场讨论会上，该公司负责网络安全咨询的董事总经理、网络安全和基础设施安全局(Network Security and Infrastructure Security Agency，简称OPENS in a New Window)顾问委员会成员克里斯·诺瓦克详细阐述了这一建议。

当被问及报告中没有提到的针对数据泄露的一种防御措施-保留更少的数据以减少数据泄露的后果时，诺瓦克指出，支付卡行业是数据最小化做法的良好采用者。这是一些拟议的隐私立法将强制采取的基本步骤。

“我们看到这个行业取得了长足的进步，”他说。“我认为，这种观念正开始向其他行业扩散。”