儘管大多數網絡犯罪分子都是熟練的操縱者,但這並不意味著他們總是熟練的技術操縱者; 其他網絡犯罪分子更喜歡操縱人的做法。
換句話說,他們擁抱社會工程,即利用人性缺陷發起網絡攻擊的做法。
在一個簡單的社會工程案例中,如果網絡犯罪分子冒充 IT 專家並要求您提供登錄詳細信息以修復系統中的安全漏洞,則可能會發生這種情況。
如果您提供這些信息,您就等於讓壞人訪問您的帳戶,而他們甚至不必擔心訪問您的電子郵件或計算機。
在每個安全鏈中,我們幾乎通常是最薄弱的環節,因為我們很容易受到各種欺騙。 社會工程技術利用人們的這一弱點來誘騙受害者洩露私人信息。
社會工程總是在不斷發展,大多數網絡威脅也是如此。
在本文中,我們將討論社會工程的現狀、需要警惕的不同類型的攻擊以及需要警惕的警告信號。
讓我們開始介紹社會工程。
什麼是社會工程學?
計算機中的社會工程是指網絡犯罪分子用來說服受害者採取可疑行動的技術,這通常會導致安全漏洞、資金傳輸或個人信息洩露。
這些活動經常挑戰邏輯並違背我們更好的判斷。
然而,欺詐者可以通過操縱我們的情緒(積極和消極的情緒,如憤怒、恐懼和愛),說服我們停止邏輯思考,開始憑本能行事,而不考慮我們實際上在做什麼。
簡單地說,社會工程是黑客破壞我們大腦的方式,就像他們利用惡意軟件和病毒破壞我們的機器一樣。
攻擊者經常利用社會工程,因為利用個人通常比識別網絡或軟件弱點更簡單。
由於犯罪分子和受害者永遠不需要面對面互動,因此社會工程始終是更廣泛騙局的組成部分。
讓受害者: 通常是主要目標:
- 智能手機上有惡意軟件。
- 放棄您的用戶名和密碼。
- 授予惡意插件、擴展程序或第三方應用程序的權限。
- 通過匯票、電子資金轉帳或禮品卡匯款。
- 扮演錢騾的角色,傳輸和洗錢非法資金。
犯罪分子會使用社會工程技術,因為利用你固有的信任他人的傾向通常比弄清楚如何破解你的程序更簡單。
例如,除非密碼確實很弱,否則欺騙某人告訴您他們的密碼比嘗試破解密碼要簡單得多。
社會工程如何運作?
社會工程師使用一系列策略進行網絡攻擊。 大多數社會工程攻擊都是從攻擊者對受害者進行偵察和研究開始的。
例如,如果目標是企業,黑客可以了解該公司的組織結構、內部流程、行業術語、潛在的業務合作夥伴等詳細信息。
社會工程師使用的策略之一是關注保安或接待員等低級別但初級訪問人員的行為和習慣。
攻擊者可以搜索 社會化媒體 記錄個人信息並觀察他們在線和麵對面的行為。
接下來,社會工程師可以使用收集到的證據來計劃攻擊並利用在偵察階段發現的缺陷。
如果攻擊確實發生,攻擊者可以獲得受保護的系統或網絡、來自目標的資金,或者訪問私人數據,例如社會安全號碼、信用卡詳細信息或銀行詳細信息。
社會工程攻擊的常見類型
了解社會工程中使用的典型技術是防禦社會工程攻擊的最佳策略之一。
如今,社會工程通常發生在網上,包括通過社交媒體詐騙,攻擊者冒充可靠消息來源或高級官員的身份,誘騙受害者洩露敏感信息。
以下是其他一些常見的社會工程攻擊:
釣魚
網絡釣魚是一種社會工程方法,其中的通信經過偽裝,使其看起來來自可靠的來源。
這些通信通常是電子郵件,旨在欺騙受害者披露個人或財務信息。
畢竟,我們為什麼要懷疑來自我們認識的朋友、家人或公司的電子郵件的合法性呢? 詐騙者利用了這種信心。
許願
網絡釣魚是一種複雜的網絡釣魚攻擊。 它也稱為“語音網絡釣魚”。 在這些攻擊中,電話號碼經常被偽造以顯得真實——攻擊者可能冒充 IT 員工、同事或銀行家。
一些攻擊者可能會使用變聲器來進一步掩蓋他們的身份。
魚叉式網絡釣魚
大公司或特定人群是魚叉式網絡釣魚的目標,這是一種社會工程攻擊。 魚叉式網絡釣魚攻擊的目標是強大的個人或小團體,例如商界領袖和公眾人物。
這種形式的社會工程攻擊通常經過深入研究並進行欺騙性偽裝,因此很難被發現。
m污
短信詐騙是一種利用文本 (SMS) 消息作為通信媒介的網絡釣魚攻擊。 通過提供有害的 URL 供點擊或提供聯繫電話號碼,這些攻擊通常要求受害者迅速採取行動。
受害者經常被提示提供攻擊者可以用來攻擊他們的私人信息。
為了說服受害者迅速採取行動並落入攻擊的陷阱,短信攻擊通常會營造出一種緊迫感。
假冒安全軟件
利用社會工程恐嚇個人安裝虛假安全軟件或訪問受惡意軟件感染的網站的行為被稱為恐嚇軟件。
恐嚇軟件通常表現為彈出窗口,可幫助您從筆記本電腦中消除所謂的計算機感染。 通過單擊彈出窗口,您可能會無意中安裝更多惡意軟件或被發送到危險網站。
如果您認為自己有恐嚇軟件或其他侵入性彈出窗口,請使用可靠的病毒清除程序經常掃描您的計算機。 對於數字衛生來說,定期檢查您的設備是否存在風險非常重要。
它還可能通過防止未來的社會工程攻擊來幫助保護您的個人信息。
誘餌
社會工程攻擊也可以離線開始; 它們不一定是在線發布的。
誘餌是攻擊者將受惡意軟件感染的對象(例如 USB 驅動器)留在可能被發現的地方的做法。 這些設備經常被刻意貼上品牌標籤以激發興趣。
出於好奇或貪婪而拿起該小工具並將其放入自己的計算機的用戶可能會無意中使該計算機感染病毒。
捕鯨
最大膽的網絡釣魚嘗試之一是捕鯨,它會帶來災難性的後果。 這種社會工程攻擊的典型目標是單一的高價值人物。
“首席執行官欺詐”一詞有時被用來描述捕鯨活動,這可以讓您了解目標。
因為他們有效地採取了適當的公事公辦的語氣,並利用內部行業知識來發揮自己的優勢,所以捕鯨攻擊比其他網絡釣魚攻擊更難發現。
發短信前
藉口是騙子製造虛假情況或“藉口”來欺騙受害者的過程。
藉口攻擊可能在線下或在線發生,是最成功的社會工程技術之一,因為攻擊者花費了大量精力讓自己顯得值得信賴。
向陌生人透露私人信息時要小心,因為可能很難發現藉口的騙局。
為了排除社會工程嘗試,如果有人打電話向您提出緊急需求,請直接與該公司聯繫。
蜂蜜陷阱
美人計是一種社會工程方法,攻擊者引誘受害者進入不安全的性環境。
然後,攻擊者會利用這種情況實施勒索或進行性勒索。 通過發送垃圾郵件,假裝他們“通過相機看到你”或同樣邪惡的東西,社會工程師經常布下蜜人陷阱。
如果您收到這樣的消息,請確保您的網絡攝像頭受到保護。
然後,保持鎮靜,不要回复,因為這些電子郵件只不過是垃圾郵件。
報償
拉丁語的意思是“以物換物”,在這種情況下,它指的是受害者因合作而獲得獎勵。
一個很好的例子是黑客冒充 IT 助理。 他們會給公司盡可能多的員工打電話,聲稱有一個簡單的解決方案,並補充說“你只需要禁用你的反病毒軟件”。
任何屈服於此的人的計算機上都安裝了勒索軟件或其他病毒。
尾板
當黑客跟踪使用有效門禁卡的人進入受保護的建築物時,就會發生尾隨,也稱為捎帶。
為了進行這次攻擊,假設獲得許可進入建築物的人會足夠體貼地為後面的人打開門。
如何防止社會工程攻擊?
通過使用這些預防措施,您和您的員工將有最好的機會避免社會工程攻擊。
教育員工
員工容易遭受社會工程攻擊的主要原因是無知。 為了教會人員如何應對典型的違規嘗試,組織應該提供安全意識培訓。
例如,如果有人試圖尾隨員工進入工作場所或要求提供敏感信息該怎麼辦。
下面的列表描述了一些最常見的網絡攻擊:
- DDoS攻擊
- 網絡釣魚攻擊
- 點擊劫持攻擊
- 勒索軟件攻擊
- 惡意軟件攻擊
- 如何應對尾隨
檢查攻擊抵抗力
對您的公司進行受控的社會工程攻擊以對其進行測試。 發送虛假的網絡釣魚電子郵件,並溫和地譴責打開附件、點擊有害鏈接或做出反應的員工。
這些實例不應被視為網絡安全失敗,而應被視為具有高度教育意義的情況。
操作安全
OPSEC 是一種發現可能對未來攻擊者有利的友好行為的方法。 如果經過適當處理並與其他數據分組,OPSEC 可能會暴露敏感或重要數據。
您可以通過使用 OPSEC 程序來限制社會工程師可以獲得的信息量。
查找數據洩露
了解憑據是否因網絡釣魚嘗試而暴露可能具有挑戰性。
您的公司應該不斷搜索數據洩露和洩露的憑據,因為一些網絡釣魚者可能需要數月甚至數年的時間才能利用他們收集的憑據。
實施多重身份驗證
實施多因素身份驗證方法,要求用戶擁有令牌、知道密碼並擁有生物識別信息才能訪問關鍵資源。
實施第三方風險管理體系
在引入新供應商或繼續與現有供應商合作之前,創建一個管理第三方風險的系統、供應商管理政策,並進行 網絡安全風險 評估。
特別是在被盜數據在暗網上出售之後,避免數據洩露比清理數據要簡單得多。
尋找可以自動管理供應商風險並定期跟踪、排名和評估供應商網絡安全的軟件。
修改您的垃圾郵件首選項。
更改電子郵件設置是防禦社會工程攻擊的最簡單方法之一。 您可以改進垃圾郵件過濾器,將社交工程詐騙電子郵件排除在您的收件箱之外。
您還可以直接將您知道的真實個人和組織的電子郵件地址添加到您的數字聯繫人列表中 - 任何冒充他們但將來使用不同地址的人很可能是社會工程師。
結論
最後,社會工程是一種相當簡單的技術,可用於實施欺詐、欺詐或其他犯罪活動。 任何人都可能親自、通過電話或在線發生這種情況。
社會工程師不需要非常技術; 他們只需要能夠欺騙您向他們提供私人信息即可。
這可能是一場災難性的騙局,因為我們都處於危險之中。 社交媒體還使社會工程師變得更加狡猾,他們能夠創建虛假帳戶,這些帳戶很容易被誤認為是真實帳戶,甚至冒充真實的個人。
在社交媒體上看到奇怪或不熟悉的個人資料時,請務必小心謹慎。
發表評論