社会工程的定义
社会工程是一种操纵手段,其目的是利用人为失误来获取私人信息、访问权限或有价值的东西。在网络犯罪中,这些“人为的黑客”诈骗往往是诱骗毫无戒心的用户泄露数据、传播恶意软件感染或提供受限系统的访问权限。攻击可能会发生在线上、面对面互动和其他互动中。
基于社会工程的诈骗通常是围绕人们的思维和行为来设计的,因此社会工程攻击对于操纵用户的行为特别有用。一旦攻击者掌握了用户某个行为的动机,就可以有效地欺骗和操纵用户。
此外,黑客还试图利用用户的知识空缺来实施诈骗。由于技术发展的日新月异,许多消费者和员工并没有意识到某些威胁,比如偷渡式下载。用户可能对电话号码等个人数据的全部价值并没有充分的了解。因此,很多用户并不确定如何才能最有效地保护自己和个人信息的安全。
社会工程攻击者通常怀着以下两种目的:
- 破坏:破坏或损坏数据,给受害者造成伤害或不便。
- 盗窃:窃取信息、访问权限或钱财等有价值的东西。
了解社会工程的具体运作方式可以对这种攻击手段有进一步的认识。
社会工程是如何运作的?
大多数社会工程攻击依赖攻击者和受害者之间的真实沟通。攻击者往往会诱骗用户主动泄露数据,而不是使用暴力破解方法强行入侵。
网络犯罪分子欺骗受害者有一个缜密的过程,即攻击周期。社会工程攻击周期通常包含以下步骤:
- 准备:收集关于您或您所属群体的背景信息。
- 渗透:先骗取信任,然后建立关系或发起互动。
- 利用受害者的弱点:一旦建立了信任并知道了受害者的弱点,就以此为缺口发动攻击。
- 撤退:一旦用户采取了攻击者期望的行动,攻击者会立刻撤退。
攻击者完成整个过程可能只需要一封电子邮件,也可能需要在社交媒体上保持长达数月的聊天沟通,甚至可能与受害者面对面互动。无论是哪种方式,最终目的都是诱使您采取攻击者期望的行动,比如分享信息或暴露于恶意软件。
社会工程作为一种迷惑人心的手段,必须时刻加以警惕。许多企业员工和消费者都没有意识到,只需少许信息,黑客就可能获得多个网络和账户的访问权限。
通过伪装成合法用户骗过 IT 技术支持人员,他们会获取您的私人信息,比如姓名、出生日期或地址。接下来,重置密码并获得几乎无限制的访问权限就再简单不过了。他们可以窃取钱财,散布社会工程恶意软件并实施其他犯罪。
社会工程攻击的特征
社会工程攻击的核心是攻击者运用强大的说服力并骗取受害者的信任。当攻击者对您施展这些手段时,您就更有可能出现失误行为。
在大多数攻击中,您会因为被误导而出现以下行为:
情绪高涨:情绪操纵让攻击者在任何互动中都能占据上风。在情绪高涨的状态下,您更有可能采取非理性或有风险的行动。攻击者会利用以下各种情绪,达到令您信服的目的。
- 恐惧
- 兴奋
- 好奇
- 愤怒
- 内疚
- 悲伤
紧迫性:稍纵即逝的机会或时间紧迫的请求是攻击者又一个杀伤力极强的利器。您可能会被蒙骗,误以为有一个严重问题必须立即引起重视,促使自己做出妥协。或者,攻击者让您以为会得到奖金或奖励,但如果不立即采取行动,就可能会丧失良机。这两种手段都会干扰您严谨思考的能力。
信任:对于社会工程攻击来说,信任感非常重要,也是必不可少的。由于攻击者的最终目的是欺骗您,所以得到您的信任就非常重要。他们已经对您有足够的研究,编出一个您很容易相信而且不会有所怀疑的故事。
有些社会工程攻击并不具备这些特征。在某些情况下,攻击者会使用更简单的社会工程方法来获取网络或计算机的访问权。比如,黑客可能会经常光顾大型办公楼的公共餐饮区,并“肩窥”正使用平板电脑或笔记本电脑工作的用户。这样可以窃取到大量密码和用户名,他们甚至连一封电子邮件都不用发,也用不着编写病毒代码。
现在您已经理解了基本概念,您可能很想知道“什么是社会工程攻击,我该如何识别?”
社会工程攻击的类型
几乎每种类型的攻击都包含某种类型的社会工程。例如,典型的电子邮件和病毒诈骗就充满了社会工程的色彩。
除了台式设备外,社会工程还可以通过移动设备攻击,以数字方式对您造成影响。然而,即便是在线下,您也很容易遇到来自攻击者的威胁。这些攻击可能相互重叠交织,以制造骗局。
下面是社会工程攻击者常用的一些手段:
网络钓鱼攻击
网络钓鱼攻击者冒充可信的机构或个人,试图诱使您主动泄露个人数据和其他有价值的信息。
从攻击目标来看,网络钓鱼攻击有两种方式:
- 垃圾邮件网络钓鱼又称大规模网络钓鱼,是一种针对许多用户的广泛攻击。这些攻击不是针对个人的攻击,而是普遍撒网,试图抓住任何毫无戒心的人。
- 鱼叉式网络钓鱼以及由此引申出的“鲸钓”利用个人化信息来瞄准特定用户。鲸钓攻击专门针对名人、企业高管和政府要员等高价值目标。
无论是直接沟通还是通过伪造的网站表格,您分享的任何信息都会直接落入诈骗者之手。您甚至可能被诱骗下载包含进一步网络钓鱼攻击的恶意软件。网络钓鱼使用的方法各有独特的传递模式,包括但不限于:
语音钓鱼:在通话时,您的所有语音内容都可能被自动消息系统记录下来。有时,电话那头是个真人,会让您觉得更加可信,紧迫感也更强烈。
短信钓鱼:短信或手机应用传递的消息可能包括通过欺诈电子邮件或电话号码发送的网页链接或跟进提示。
电子邮件钓鱼:这是最传统的网络钓鱼方式,通过电子邮件催促您回复或通过其他方式跟进。攻击者会使用网页链接、电话号码或恶意软件附件。
灯笼式钓鱼:这种攻击发生在社交媒体上,攻击者冒充可信公司的客服团队。他们会截获您与某个品牌的通信,劫持并将您的对话转移到私信中,然后开始发动攻击。
搜索引擎钓鱼:攻击者试图将虚假网站的链接置于搜索结果的顶部。这可能是通过付费广告,也可能是使用合法的优化方法来操纵搜索排名。
URL 钓鱼:这类链接意图诱使您访问网络钓鱼网站。这些链接一般通过电子邮件、短信、社交媒体消息和在线广告进行传递。攻击会使用链接缩短工具或伪装的 URL,将链接隐藏在超链接文本或按钮中。
会话钓鱼:这种攻击会干扰您对网页的正常浏览。例如,您可能会在当前访问的页面上看到虚假的登录弹窗。
下饵攻击
下饵是利用您天生的好奇心,诱使您将自己暴露给攻击者。通常情况下,攻击者会用免费或专属的东西实施操纵,诱使您采取某种行动。这种攻击通常会用恶意软件来感染您的设备。
常用的下饵方法包括:
- 遗落在图书馆和停车场等公共场所的 U 盘。
- 电子邮件附件,其中包括赠品优惠或欺诈性免费软件的详细信息。
物理入侵攻击
物理入侵是指攻击者亲自出马,冒充合法人员,以获得未经授权的区域或信息的访问权限。
这种性质的攻击在企业环境中最为常见,例如政府、公司或其他组织。攻击者可能会冒充与该公司合作的某家可信的知名供应商的代表。一些攻击者甚至可能是最近被解雇的员工,他们心怀怨恨,想要报复前雇主。
他们会故意模糊自己的身份,但还要确保足够可信以免被怀疑。这需要攻击者做些研究,并且风险较大。因此,如果有人试图使用这种方法,代表他们已经确定一旦成功,回报将非常可观。
假托攻击
假托是利用欺骗性身份作为“幌子”来建立信任,例如直接冒充供应商或工厂员工。这种方法需要攻击者更主动地与您进行接触。一旦您相信他们的合法性,他们就会有机可乘。
尾随进入攻击
尾随(又称“捎带”)是指紧跟在已获授权的员工身后进入访问受限的区域。攻击者可能会利用社交礼仪让您帮忙开门,或者让您相信他们也有进入该区域的权限。攻击者还可能同时采用假托的手段。
等价交换攻击
“等价交换”的大致意思是“以物易物”,在网络钓鱼的语境中,该词是指用您的个人信息换取某种奖励或其他补偿。赠品或参加研究学习的机会可能会使您面临这种类型的攻击。
这类攻击利用的是您想要通过低投入获得高价值之物的心理。然而,攻击者只是拿走了您的数据,而您并没有得到任何回报。
DNS 欺骗和缓存中毒攻击
DNS 欺骗是操纵您的浏览器和 Web 服务器,当您输入合法的 URL 时,您会被重定向到恶意网站。一旦遭受这种攻击,除非从被感染的系统中清除不准确的路由数据,否则重定向将一直持续。
DNS 缓存中毒攻击通过合法的 URL 或多个 URL 的路由指令,将您链接到欺诈网站,从而感染您的设备。
恐吓软件攻击
恐吓软件是一种恶意软件,用于恐吓您采取某种行动。这种欺骗性的恶意软件会发出令人惊恐的警告,包括报告虚假的恶意软件感染或声称您的某个账户已被攻破。
然后,恐吓软件会促使您购买欺诈性网络安全软件,或透露账户凭证等私人信息。
水坑攻击
水坑攻击通过恶意软件感染热门网页,导致很多用户同时受到影响。攻击者需要仔细规划,找到特定网站上的漏洞。他们会寻找目前存在但尚未被发现和修补的漏洞,这些漏洞被称为零日漏洞。
此外,他们可能会找到尚未更新基础设施来修复已知漏洞的网站。网站所有者可能选择延迟软件更新,以保持当前软件版本的稳定运行。当新版本在系统稳定性方面得到证明后,他们才会切换成新版本。黑客会利用这种行为来攻击最近修补的漏洞。
不同寻常的社会工程方法
在某些情况下,网络犯罪分子使用十分复杂的方法来完成网络攻击,其中包括:
基于传真的网络钓鱼:一家银行的客户收到一封声称来自银行的虚假电子邮件,要求客户确认密码,但确认方式不是通过常规的电子邮件/互联网途径,而是要求客户打印出电子邮件中的表格,然后填写详细资料,并将表格传真给网络犯罪分子的电话号码。
传统邮件恶意软件分发:在日本,网络犯罪分子利用送货上门服务分发感染了木马间谍软件的光盘。光盘被送到某家日本银行的客户手中,而客户的地址是之前从银行数据库中窃取的。
社会工程攻击示例
Examples of Social Engineering Attacks
恶意软件攻击很常见,并且会造成长期的影响,因此必须格外留意。
当恶意软件创建者利用社会工程手段时,他们能够诱骗不谨慎的用户启动受感染的文件或打开指向受感染网站的链接。许多电子邮件蠕虫和其他类型的恶意软件使用的都是这类方法。如果您的移动设备和台式设备没有安装全面的安全软件套件,您就很可能会受到感染。
蠕虫攻击
网络犯罪分子的目标是引起用户对链接或受感染文件的注意,然后设法让用户点击。
这类攻击的示例包括:
- LoveLetter 蠕虫,在 2000 年造成大量公司的电子邮件服务器超载。受害者都收到了一封电子邮件,邀请他们打开情书附件。当受害者打开文件附件时,蠕虫自我复制到他们通讯录中的所有联系人。就其造成的经济损失而言,此蠕虫仍被认为是最具破坏性的攻击之一。
- Mydoom 电子邮件蠕虫,于 2004 年 1 月在互联网上出现,其使用的文本内容模仿了邮件服务器发出的技术邮件。
- Swen 蠕虫将自己伪装成 Microsoft 发送的邮件,声称附件是一个可以消除 Windows 漏洞的补丁。无怪乎许多人对此信以为真,并设法安装伪造的安全补丁,纵然它实际上是一种蠕虫。
恶意软件链接传播渠道
受感染网站的链接可以通过电子邮件、ICQ 和其他 IM 系统发送,甚至可以通过 IRC 网络聊天室传播。手机病毒通常通过短信传播。
无论使用哪种传播方式,相关消息通常都会包含醒目惹眼或让人感兴趣的措辞,鼓励不知情的用户点击链接。这种系统入侵方法可以让恶意软件绕过邮件服务器的反病毒过滤器。
点对点 (P2P) 网络攻击
P2P 网络也会被用来分发恶意软件。P2P 网络上会出现蠕虫或木马病毒,通常以引人注意的方式命名,并诱使用户下载并启动文件。例如:
- AIM & AOL Password Hacker.exe
- Microsoft CD Key Generator.exe
- PornStar3D.exe
- Play Station emulator crack.exe
受感染的用户羞于报告攻击事件
在一些情况下,恶意软件创建者和分发者会采取措施降低受害者报告感染事件的可能性:
受害者可能会对某种免费工具或指南的虚假宣传信以为真,其中承诺以下非法的利益:
- 免费接入互联网和移动数据通信。
- 有机会下载信用卡号生成器。
- 增加受害者的在线账户余额。
在这些情况下,当受害者最终发现下载内容是木马病毒时,他们会极力避免暴露自己的非法意图。因此,受害者可能不会向任何执法机构报告感染事件。
利用这种手段的攻击还有一个例子,即向获取自招聘网站的电子邮件地址发送木马病毒。网站的注册用户收到虚假的工作邀请邮件,而这些邮件中包含木马病毒。这种攻击主要针对公司电子邮件地址。网络犯罪分子知道,收到木马邮件的员工不会想要告诉雇主他们是在另谋工作时受到了感染。
如何识别社会工程攻击
要防范社会工程攻击,您需要保持自我意识。在做任何事情或作出回应之前,一定要三思而后行。
攻击者希望您不顾风险地采取行动,因此您应该反其道而行之。如果您怀疑这是一次攻击,反思下列问题会对您有所帮助:
- 我是否处于情绪高涨的状态?当您处于特别好奇、恐惧或兴奋的状态时,不太会考虑自己所作所为的后果。事实上,您可能不会思考眼下情况的合理性。因此,如果您处于情绪高涨的状态,把这看作是一个危险信号。
- 发送这条消息的来源是否合法?当收到可疑消息时,应仔细检查电子邮件地址和社交媒体上的个人资料。注意是否存在模仿字符的情况,比如用“torn@example.com”来冒充“tom@example.com”。虚假的社交媒体个人资料,其中盗用了您朋友的照片和其他信息,这种情况也很常见。
- 我的朋友是否真的发送了这条消息?最好询问发件人是否真的发送了相关消息。无论是同事还是您认识的另一个人,尽量当面或通过电话询问他们。他们可能已遭到黑客入侵而不知情,也可能有人在冒充他们的账户。
- 我进入的网站是否有反常的细节?不合常规的 URL、图像质量不佳、过时或不正确的公司徽标,以及网页上有拼写错误,这些都可能是进入欺诈网站的危险信号。如果您进入了一个伪造的网站,一定要立即离开。
- 所提供的好处是否好到令人难以置信?提供赠品或其他有针对性的好处,其背后的强烈动机是推动社会工程攻击取得成功。您应该仔细想想,为什么有人向您提供这么有价值的东西,而他们自己却没有什么好处。务必时刻保持警惕,因为即使是您的电子邮件地址等基本的数据也可能被收集并出售给不道德的广告商。
- 附件或链接是否可疑?如果消息中的链接或文件名含糊不清或显得奇怪,请重新考虑整个消息的真实性。此外,还应考虑对方发送消息的背景或时间是否反常,或者是否存在其他危险信号。
- 此人能证明自己的身份吗?如果您无法向此人声称所在的组织核实其身份,则不要向他们提供他们所要求的访问权限。这种防范方法适用于面对面攻击和在线攻击,因为物理入侵需要您忽略攻击者的身份。
如何防范社会工程攻击
除了识别攻击,您还可以主动保护自己的隐私和安全。了解如何防范社会工程攻击对于所有移动和计算机用户都非常重要。
下面是保护自己免受各种类型的网络攻击的重要方法:
安全通信和管理账户的习惯
在线通信的安全隐患较大。社交媒体、电子邮件和短信都是常见的攻击目标,同时也要重视面对面互动的安全性。
切勿点击任何电子邮件或消息中的链接。无论发件人是谁,都必须手动在地址栏中输入 URL。此外,还应展开进一步的调查,找到相关 URL 的官方版本。切勿使用任何未经官方或合法性验证的 URL。
使用多因素身份验证。当密码不再是唯一的安全防线时,在线账户会得到更好的安全保障。在登录账户时,多因素身份验证会通过更多验证步骤来确认您的身份。这些“因素”可能包括指纹或人脸识别等生物特征,或通过短信发送的一次性密码。
使用强密码(和密码管理器)。您的每个密码都应该是唯一和复杂的。确保使用不同类型的字符,包括大写字母、数字和符号。此外,您应该尽可能选择更长的密码。为了方便管理所有自定义的密码,您可能需要使用密码管理器来安全地存储和记住这些密码。
避免分享您的学校名、宠物名、出生地或其他个人信息。您可能会在不知情的情况下透露安全问题的答案或密码中包含的信息。如果您将安全问题设置成容易记住但并不准确的答案,那么网络犯罪分子会更难破解您的账户。如果您的第一辆车是“丰田”,那么答案可以设置成“小丑车”,这样就可以摆脱窥探您信息的黑客。
网上交友要非常谨慎。虽然互联网可以作为您与世界各地的人们建立联系的有效途径,但也是社会工程攻击的常用渠道。留意表明操纵或明显滥用信任的迹象和危险信号。
安全使用网络的习惯
遭到入侵的在线网络也可能成为漏洞点,被用于进行背景调查。为了避免自己的数据被用来对付自己,您必须对接入的任何网络采取防护措施。
切勿让陌生人接入您的 Wi-Fi 主网络。无论是在家里还是在工作场所,应提供访客专用的 Wi-Fi 连接。这能够确保您已经加密、受密码保护的主连接保持安全,并且不会遭到拦截。即便有人想要“窃听”您的信息,他们也无法访问您和其他人想要保密的活动。
使用 VPN。如果有人在您的主网络(有线、无线或蜂窝网络)上寻找拦截流量的方法,虚拟专用网络 (VPN) 可以杜绝这种风险。VPN 提供的服务包括在您使用的任何互联网连接上为您提供加密的私人“隧道”。您的连接不仅受到保护,不会被人监视,而且数据也是匿名的,因此无法通过 Cookie 或其他方式跟踪到您。
确保所有接入网络的设备和服务是安全的。许多人都知道如何保护移动设备和传统计算机的在线安全。然而,除了各类智能设备和云服务之外,对网络本身的保护也同样重要。对汽车信息娱乐系统和家庭网络路由器等设备的保护常常被忽视,因此必须加强重视。这些设备上的数据泄露可能会使社会工程诈骗更具有个人针对性。
安全使用设备的习惯
保护设备本身的安全和所有其他数字行为一样重要。下面是有关如何保护手机、平板电脑和其他计算机设备的建议:
使用全面的互联网安全软件。一旦社会工程手段得逞,您通常会被恶意软件感染。为抵御 rootkit、木马以及其他僵尸病毒,使用一个既能消除感染,又能帮助追踪其来源的高质量互联网安全解决方案是至关重要的。
永远不要在公共场合让设备处于不安全状态。一定要锁定计算机和移动设备,尤其是在工作时。在机场和咖啡店等公共场所使用设备时,请务必保管好它们。
及时更新所有软件。即刻更新可以为软件提供必要的安全补丁。如果忽略或延迟对操作系统或应用程序的更新,就等于将已知的安全漏洞摆在黑客面前,等着他们攻击。黑客们知道很多计算机和移动设备用户都有这样的行为,您就成了社会工程恶意软件攻击的主要目标。
检查在线账户是否存在已知的数据泄露。卡巴斯基优选版等服务会主动监控您的电子邮件地址是否存在已有和新出现的数据泄露。如果泄露的数据中包含您的账户,您将收到通知以及如何采取行动的建议。
防范社会工程要从加强宣传着手。如果所有用户都意识到这些威胁,社会的整体安全将得到改善。请务必向同事、家人和朋友分享您所学到的内容,共同提高对这些风险的认识。
相关文章: