那是2016年3月2日的,梅利莎·马尔汉德 (Melissa Marchand) 在科德角 (Cape Cod) 的日子开始了。她开着中型轿车在Hyannis Whale Watcher Cruises上班,在当地的咖啡店拿起拿铁咖啡和1% 牛奶,然后坐在办公桌前查看电子邮件。然后,Marchand接到了没有网站经理想要接收的电话: 该站点已关闭,没有人知道如何修复它。
在她拨打了网络托管提供商的电话后,这个消息变得越来越糟: Whales.net被黑客入侵,令她震惊的是,所有访问者都被重定向到色情网站。Google甚至标记了该公司的搜索结果,警告潜在客户该网站可能被黑客入侵。
马尔查德在接受企业家采访时说: “这完全是一场噩梦 -- 我不知道会发生这样的事情。”“我想说我们有75到80% 的预订是在网上完成的,所以当我们的网站关闭时,我们就死在水里了。”
在提供商的建议下,Marchand致电网站安全公司SiteLock,并授予其代表网站访问权限。SiteLock发现黑客利用了Wordpress插件中的安全漏洞,这为他们提供了将访问者重定向到色情网站所需的访问权限。
在工作日结束时,Marchand坐在健身房停车场的车里,与SiteLock代表通电话,以审查行动计划。她终于觉得一切都会好起来的。
在三天内,Whales.net恢复运行,尽管Google又花了三周时间从公司的搜索结果中删除了黑名单警告。
这次黑客袭击发生在4月中旬观鲸季节开始前一个月,尽管不是旺季,但该公司仍然错过了从学校和营地预先预订的旅行团。Marchand估计这次袭击使公司失去了约10% 的3月和4月业务。
各地小企业的风险
根据2019 Verizon的一份报告,小企业主在2017年11月1日和2018年10月31日之间追踪的数据泄露43% 中受害。该报告跟踪了所有行业的安全事件,但今年最脆弱的行业是零售,住宿和医疗保健。
这个问题在全国范围内是什么样的?如果我们拿受感染网站的样本量,SiteLock说他们发现了2018年-大约6,056,969个检查中的47,244个-并将该百分比应用于该国估计的3020万个小型企业网站,减去没有网站的估计36%,然后,我们可以粗略地估计受感染的小型企业网站的数量约为150,757。
作为小企业主,您可能不相信有人会瞄准您的网站,但仅此而已-不良行为者可能不会专门寻找您的网站,Google帐户安全负责人Mark Risher说。
“有时候,我们谈论选择目标和机会目标之间的区别,” 里舍说。“机会的目标是当攻击者只是在尝试任何事情时 -- 他们正穿过停车场,看看是否有任何车门被解锁。选择的目标是当他们把目光对准那辆闪亮、华而不实的汽车时,这就是他们想要闯入的那辆 -- 他们会尝试窗户,门…和月亮屋顶。我认为对于小型企业来说,有一种诱惑,那就是 “没有人会选择我。因此,我只是匿名滑冰。”但问题是,他们没有考虑到攻击者使用的自动化程度。“
根据SiteLock研究,即使是流量最少的网站,平均每天仍有62次攻击。“这些网络犯罪分子现在真的在经营业务,” 该公司总裁尼尔·费瑟 (Neill Feather) 说。“随着攻击自动化程度的提高,妥协一个1,000小网站和投入时间并试图妥协一个大网站一样有利可图。”
Verizon网络安全负责人,《数据泄露报告》的作者之一约翰·洛夫兰 (John Loveland) 表示,自该报告于12年前首次发布以来,他已经看到中小企业的攻击明显增加。随着恶意软件、网络钓鱼和其他攻击已经变得 “更加商品化,技术含量较低的黑客更容易获得,” 他说,“你…可以看到有价值的目标类型的漏洞。”
那么,黑客从交易中得到什么呢?这不仅仅是关于潜在有利可图的客户信息和交易历史。还有机会武器化你网站的声誉。通过在以前值得信赖的网站上托管恶意软件,黑客可以通过增强恶意软件的搜索引擎优化 (SEO) 来增加攻击的传播并扩大后果。Risher说,它们可能会感染有机搜索该网站或通过新闻通讯,文章或其他企业的链接访问该网站的网站访问者。
即使您将业务的各个方面 (例如时间和费用报告,人力资源,客户数据存储或财务交易) 外包,也无法保证当您自己的网站遭到破坏时,这些信息是安全的。Loveland表示,他看到专门用于捕获基于web的电子邮件帐户,在线CRM工具和其他平台的用户凭据的电子邮件网络钓鱼有所增加-根据软件公司的年度调查,有关凭据泄露的报告增加了280% 2016年。proofpoint。
如何保护自己和客户
小企业主如何保护自己和他们的客户?由于大量的网络攻击可以归因于自动化,因此针对网络钓鱼,恶意软件等采取基本保护措施可以帮助您的站点远离阻力最小的路径。
这里有五种提高小企业网络安全的方法。
1.使用密码管理器。
以太币中流传着大量的密码建议,但最重要的是,Risher说: 不要在多个站点上重复使用相同的密码。为了方便起见,这是一个很难遵守的规则-尤其是因为86% 的互联网用户报告通过记忆来跟踪他们的密码-但是网络安全专家建议密码管理器作为高效且安全的解决方法。免费密码管理器选项包括Lastpass,Myki和LogMeOnce。
2.设置电子邮件帐户恢复方法,以防止网络钓鱼攻击。
对于大型和小型企业来说,网络钓鱼攻击都是一个持久的网络安全问题: proofpoint年度网络钓鱼调查的受访者中有83% 表示2018年遭受网络钓鱼攻击,比前一年的76% 例有所增加。拥抱更具网络意识的文化-包括保持警惕以识别潜在的网络钓鱼攻击,可疑链接和虚假发件人-是电子邮件安全的关键。
如果您是Gmail用户,最近的公司研究表明,在您的帐户中添加恢复电话号码可能会阻止多达100% 来自自动机器人的网络攻击,大量网络钓鱼攻击的99% 以及针对性攻击的66%。这很有帮助,因为如果出现未知或可疑的登录,您的手机将收到短信代码或设备上的验证提示。如果没有恢复电话号码,Google将依靠较弱的挑战,例如召回上次登录位置-尽管这仍然可以阻止大多数自动攻击,但针对网络钓鱼的有效性却下降到10%。
3.备份您的数据以防止勒索软件。
勒索软件 -- 一种网络攻击,黑客控制你的计算机访问和/或数据赎金 -- 已经引发了一场 “针对中小企业的网络犯罪相关活动的狂热”,洛夫兰说。实际上,根据Verizon的报告,它是第二大领先的恶意软件操作2019年,占安全事件的24%。黑客通常认为这是一种潜在的低风险、高回报的选择,所以对这种攻击采取适当的保护措施是很重要的 -- 也就是说,让你的数据得到完整的备份,这样你就不会受到黑客的摆布。诸如Google Drive和Dropbox之类的工具可以提供帮助,以及诸如Code42之类的自动备份程序 (均收取月费)。您还可以购买高存储空间的外部硬盘来备份所有内容。
4.招募专用的DNS安全工具来阻止可疑站点。
由于计算机只能使用数字进行通信,因此域名系统 (DNS) 是internet基础的一部分,因为它充当您输入的域名和最终ip地址之间的 “转换器”。DNS最初的设计并没有考虑到顶级安全性,因此使用DNSSEC (DNS安全扩展) 可以帮助防止恶意软件,网络钓鱼攻击等导致的可疑网站和重定向。在您的域查找过程中,这些工具多次验证站点的有效性。尽管internet服务提供商通常会提供一定程度的DNS安全性,但专家表示,使用专用的DNSSEC工具更为有效-免费选项包括OpenDNS和Quad9 DNS。洛夫兰说: “(这是) 一个低成本、不需要动脑筋的举动,可以防止人们使用糟糕的ip地址。”
5.考虑与网站安全公司签约。
每月支付网站安全公司的订阅费用可能并不理想,但最终可能会因网站黑客而失去业务而付出代价。减少攻击漏洞意味着要尽快为所有在线工具安装安全补丁和更新,这对于小企业主的日程安排来说可能很困难。
“对于一个小企业主来说,说 '我很方便 -- 我可以自己做这件事' 是很诱人的,” 里舍说。“但现实情况是,即使你非常熟练,你也可能不会全天候工作,你…正在承担24/7的维护和监控。让一个大型组织为你做这件事肯定是值得的。“