尽管大多数网络犯罪分子都是熟练的操纵者,但这并不意味着他们总是熟练的技术操纵者; 其他网络犯罪分子更喜欢操纵他人的做法。
换句话说,他们拥抱社会工程,这是利用人性缺陷发动网络攻击的做法。
在一个简单的社会工程案例中,如果网络犯罪分子冒充 IT 专家并要求您提供登录详细信息以修复系统中的安全漏洞,就会发生这种情况。
如果您提供信息,您只是让一个坏人访问您的帐户,而他们甚至不必担心访问您的电子邮件或计算机。
在每个安全链中,我们几乎通常是最薄弱的环节,因为我们容易受到各种欺骗。 社会工程技术利用人们的这种脆弱性来诱骗受害者泄露私人信息。
社会工程学总是在不断发展,大多数网络威胁也是如此。
在本文中,我们将讨论社会工程的当前状态、需要注意的不同类型的攻击以及需要注意的警告信号。
让我们开始介绍社会工程学。
什么是社会工程学?
计算中的社会工程是指网络犯罪分子用来说服受害者做出可疑行为的技术,这种行为通常会导致安全漏洞、资金传输或个人信息泄露。
这些活动经常挑战逻辑,违背我们更好的判断。
然而,欺诈者可以通过操纵我们的情绪(无论是积极的还是消极的)(如愤怒、恐惧和爱)来说服我们停止逻辑思考并开始根据本能行事,而不考虑我们实际在做什么。
简单地说,社会工程就是黑客如何危害我们的大脑,就像他们使用恶意软件和病毒来危害我们的机器一样。
攻击者经常利用社会工程学,因为利用个人通常比识别网络或软件弱点更简单。
因为犯罪分子和他们的受害者永远不必亲自互动,所以社会工程始终是更广泛骗局的一个组成部分。
让受害者: 通常是主要目标:
- 智能手机上的恶意软件。
- 放弃您的用户名和密码。
- 授予恶意插件、扩展程序或第三方应用程序的权限。
- 通过汇票、电子资金转账或礼品卡汇款。
- 扮演钱骡的角色,转移和洗钱非法资金。
犯罪分子使用社会工程技术是因为利用您固有的信任他人倾向通常比弄清楚如何破解您的程序更简单。
例如,除非密码真的很弱,否则诱骗某人告诉你他们的密码比尝试破解密码要简单得多。
社会工程学如何运作?
社会工程师使用一系列策略进行网络攻击。 大多数社会工程学攻击始于攻击者对受害者进行侦察和研究。
例如,如果目标是一家企业,黑客可以了解该公司的组织结构、内部流程、行业术语、潜在业务合作伙伴和其他详细信息。
关注具有低级别但初始访问权限的工人的行为和习惯,如保安或接待员,是社会工程师使用的一种策略。
攻击者可以搜索 社会化媒体 帐户个人信息,并在网上和亲自观察他们的行为。
社会工程师接下来可以使用收集到的证据来计划攻击,并利用在侦察阶段发现的缺陷。
如果确实发生了攻击,攻击者可能会获得受保护的系统或网络、来自目标的资金,或访问诸如社会安全号码、信用卡详细信息或银行详细信息等私人数据。
常见的社会工程攻击类型
了解社会工程中使用的典型技术是保护自己免受社会工程攻击的最佳策略之一。
如今,社会工程通常在网上发生,包括通过社交媒体诈骗,当攻击者冒充可靠来源或高级官员的身份时,诱骗受害者披露敏感信息。
以下是一些其他流行的社会工程攻击:
網絡釣魚
网络钓鱼是一种社会工程方法,其中通信被伪装,以便它们看起来来自可信赖的来源。
这些通信通常是电子邮件,旨在欺骗受害者披露个人或财务信息。
毕竟,我们为什么要怀疑来自我们认识的朋友、家人或公司的电子邮件的合法性? 诈骗者利用这种信心。
语音网络钓鱼
网络钓鱼是一种复杂的网络钓鱼攻击。 它也被称为“语音网络钓鱼”。 在这些攻击中,电话号码经常被伪装成真实的——攻击者可能伪装成 IT 员工、同事或银行家。
一些攻击者可能会使用语音转换器来更加模糊他们的身份。
鱼叉式网络钓鱼
大公司或特定个人是鱼叉式网络钓鱼的目标,这是一种社会工程攻击。 鱼叉式网络钓鱼攻击的目标是强大的个人或小团体,例如商业领袖和公众人物。
这种形式的社会工程攻击经常经过充分研究并具有欺骗性的伪装,因此很难被发现。
SmiShing利用
Smishing 是一种利用文本 (SMS) 消息作为通信媒介的网络钓鱼攻击。 通过提供有害的 URL 来点击或联系电话号码,这些攻击通常要求受害者迅速采取行动。
受害者经常被提示提供攻击者可以用来对付他们的私人信息。
为了说服受害者迅速采取行动并上当受袭,猛烈攻击经常表现出一种紧迫感。
假冒安全软件
使用社会工程来恐吓个人安装虚假安全软件或访问受恶意软件感染的网站被称为恐吓软件。
恐吓软件通常表现为弹出窗口,可帮助您从笔记本电脑中消除所谓的计算机感染。 通过单击弹出窗口,您可能会无意中安装更多恶意软件或被发送到危险网站。
如果您认为自己有恐吓软件或其他侵入性弹出窗口,请使用可靠的病毒清除程序经常扫描您的计算机。 对于数字卫生来说,定期检查您的设备是否存在风险非常重要。
它还可以通过防止未来的社会工程攻击来帮助保护您的个人信息。
引诱
社会工程攻击也可以离线开始; 它们不一定是在线发布的。
诱饵是攻击者将受恶意软件感染的对象(例如 USB 驱动器)留在可能被发现的地方的做法。 这些设备经常被刻意打上商标以引起人们的兴趣。
出于好奇或贪婪而拿起小工具并将其放入自己的计算机的用户可能会无意中使该计算机感染病毒。
捕鲸
捕鲸是最大胆的网络钓鱼尝试之一,结果是灾难性的。 这种社会工程攻击的典型目标是单一的、高价值的人。
“CEO 欺诈”一词有时用于描述捕鲸,它可以为您指明目标。
因为他们有效地采取了合适的商务语气并利用内部行业知识为自己谋利,所以捕鲸攻击比其他网络钓鱼攻击更难被发现。
发短信前
借口是捏造虚假情况或“借口”的过程,骗子用来欺骗受害者。
可能发生在离线或在线的借口攻击是最成功的社会工程技术之一,因为攻击者付出了很多努力来使自己看起来值得信赖。
向陌生人透露私人信息时要小心,因为可能很难发现借口的骗局。
要排除社会工程企图,如果有人打电话告诉你有紧急需求,请直接与公司联系。
蜂蜜陷阱
蜜饯是一种社会工程学方法,其中攻击者将受害者引诱到不安全的性环境中。
然后攻击者利用这种情况进行勒索或进行性勒索。 通过发送垃圾邮件,假装他们“通过你的相机看到你”或同样邪恶的东西,社会工程师经常设下陷阱。
如果您收到这样的消息,请确保您的网络摄像头受到保护。
然后,保持冷静,不要回复,因为这些电子邮件只不过是垃圾邮件。
报偿
拉丁语的意思是“为某事做某事”,在这种情况下,它指的是受害者获得奖励以换取他们的合作。
一个很好的例子是黑客伪装成 IT 助理。 他们会打电话给公司尽可能多的员工,并声称有一个简单的解决方案,并补充说“你只需要禁用你的 AV。”
任何屈服于它的人都在他们的计算机上安装了勒索软件或其他病毒。
随行
尾随,也称为捎带,当黑客使用有效的门禁卡跟随一个人进入一个安全的建筑物时,就会发生这种情况。
为了发动这种攻击,假设有权进入建筑物的人会足够体贴地为后面的人打开门。
如何防止社会工程攻击?
通过使用这些预防措施,您和您的员工将有最好的机会避免社会工程攻击。
教育员工
员工易受社会工程攻击的主要原因是无知。 为了教人员如何对典型的违规尝试做出反应,组织应提供安全意识培训。
例如,如果有人试图尾随员工进入工作场所或要求提供敏感信息,该怎么办。
下面的列表中描述了一些最常见的网络攻击:
- DDoS攻击
- 网络钓鱼攻击
- 点击劫持攻击
- 勒索软件攻击
- 恶意软件攻击
- 如何应对尾随
检查攻击抗性
对您的公司进行受控的社会工程攻击以对其进行测试。 发送虚假的网络钓鱼电子邮件,并温和地谴责打开附件、单击有害链接或做出反应的工作人员。
这些实例不应被视为网络安全失败,而应被视为具有高度教育意义的情况。
操作安全
OPSEC 是一种发现可能对未来攻击者有利的友好行为的方法。 如果对敏感或重要数据进行适当处理并与其他数据分组,则 OPSEC 可能会暴露这些数据。
您可以限制社会工程师通过使用 OPSEC 程序可以获得的信息量。
查找数据泄漏
了解凭据是否因网络钓鱼尝试而暴露可能具有挑战性。
您的公司应不断搜索数据泄露和泄露的凭据,因为一些网络钓鱼者可能需要数月甚至数年才能利用他们收集的凭据。
实施多因素身份验证
实施多因素身份验证方法,该方法需要用户拥有令牌、知道密码并拥有他们的生物特征,才能访问关键资源。
实施第三方风险管理系统
在引进新供应商或继续与现有供应商合作之前,创建一个管理第三方风险的系统、供应商管理政策,并进行 网络安全风险 评估。
特别是在被盗数据在暗网上出售后,避免数据泄露比清理它们要简单得多。
查找可以自动管理供应商风险并定期跟踪、排名和评估供应商网络安全的软件。
修改您的垃圾邮件首选项。
更改您的电子邮件设置是保护自己免受社交工程攻击的最简单方法之一。 您可以改进垃圾邮件过滤器,将社交工程诈骗电子邮件拒之门外。
您还可以直接将您知道的真实个人和组织的电子邮件地址添加到您的数字联系人列表中——任何伪装成他们但将来使用不同地址的人很可能是社会工程师。
结论
最后,社会工程学是一种相当简单的技术,可用于实施欺诈、欺诈或其他犯罪。 它可以发生在任何人身上,通过电话或在线。
社会工程师不需要非常技术; 他们只需要能够诱使您向他们提供私人信息。
这是一个潜在的灾难性骗局,因为我们都处于危险之中。 社交媒体还使社会工程师变得更加狡猾,使他们能够创建虚假账户,这些账户很容易被误认为是真实账户,甚至可以冒充真实的个人。
在社交媒体上看到奇怪或不熟悉的个人资料时,请务必小心。
发表评论