什么是社会工程?
当考虑网络安全时,我们大多数人都在考虑防止黑客使用技术弱点来攻击数据网络。但是,还有另一种入侵组织和网络的方式,那就是利用人的弱点。这称为社会工程,它包括欺骗他人泄露信息或允许访问数据网络。
例如,入侵者可能冒充 IT 服务台人员,要求用户提供用户名和密码等信息。令人惊讶的是,许多人不多加思索就自愿提供该信息,特别是当看起来合法的代表要求提供时。
简单来说,社会工程就是利用欺骗手段来操纵个人,使其访问或泄露信息或数据。
社会工程攻击的类型
社会工程攻击有多种类型。因此,了解社会工程的定义和攻击方式很重要。了解基本的作案手法后,发现社会工程攻击就容易多了。
下饵
下饵包括创建陷阱,例如装有恶意软件的 U 盘。有人会好奇知道 U 盘里有什么而将其放入 USB 驱动器,导致系统遭到破坏。事实上,有一种 U 盘可通过 USB 驱动器为自身充电,然后释放猛烈的电涌来破坏计算机 - 损坏插入它的设备。(这种 U 盘的成本只有 54 美元)。
假托
这种攻击使用借口来引起注意并使受害者上钩来提供信息。例如,一项互联网调查可能一开始看起来没问题,但随后要求提供银行账户详细信息。或者有人可能拿着笔记板出现,说他们正在对内部系统进行审计;然而,他们可能不是他们说的那样,而是为了窃取有价值的信息。
网络钓鱼
网络钓鱼攻击涉及假装来自受信任来源的电子邮件或文本消息 - 要求提供信息。一种广为人知的类型是声称来自一家银行的电子邮件,希望其客户“确认”其安全信息并将他们定向到一个虚假网站,记录他们的登录凭据。“鱼叉式网络钓鱼”以公司内部的单个人为目标,发送一封电子邮件声称来自公司高层,要求提供机密信息。
电话钓鱼和短信钓鱼
这两种类型的社会工程攻击是网络钓鱼的变种 -“电话钓鱼”,就是简单地打电话并要求提供数据。犯罪分子可能会冒充同事,例如来自 IT 服务台并要求提供登录信息。短信钓鱼则使用短信来尝试和获取此信息。
等价交换
俗话说“公平交换并非抢夺”,但在本文的环境中,就是抢夺。许多社会工程攻击让受害者相信,他们会因为提供数据或访问权限而获得回报。“恐吓软件”就是这样运作的,它向电脑用户承诺更新以处理紧急的安全问题,而事实上,恐吓软件本身就是恶意安全威胁。
联系人垃圾邮件和电子邮件入侵
这种类型的攻击涉及入侵个人的电子邮件或社交媒体帐户,以获得对联系人的访问权限。联系人可能被告知该个人被抢劫并丢失了所有信用卡,然后要求汇钱到汇款账户。或者“朋友”可能转发一个“必看视频”,该视频会链接到恶意软件或键盘记录木马。
网络收割与狩猎
最后,要意识到一些社会工程攻击已发展得相当远。我们所描述的大多数简单方法都是“狩猎”的一种形式。基本上是入侵,获取信息,离开。
但是,某些类型的社会工程攻击涉及与目标建立关系,以在较长的时间内获取更多信息。这称为“网络收割”,它对攻击者来说风险更大:被发现的机率更大。但是,如果渗透成功,则可以传递更多信息。
如何避免社会工程攻击
社会工程攻击特别难以应对,因为它们专门设计成利用人类的天性,例如好奇心、对权威的尊重和对帮助朋友的渴望。有许多技巧有助于检测社会工程攻击...
检查来源
花一点时间考虑一下信息来源;不要盲目相信。一个 U 盘出现在桌子上,您不知道它是什么?突然接到一个电话,说您继承了 5 百万美元?CEO 发来一个电子邮件,要求提供大量关于各个员工的信息?所有这些听起来都很可疑,应该予以处理。
检查来源并不困难。例如,对于电子邮件,查看电子邮件标题,并对照同一发件人的有效电子邮件进行检查。查看链接的去向 - 只需将鼠标悬停在超链接上即可轻易发现欺诈链接(但不要点击链接!)检查拼写:银行有专门团队负责进行客户沟通,因此,带有明显错误的电子邮件可能是伪造的。
如果有疑问,请访问官方网站与官方代表联系,因为他们能够确认邮件/消息是官方的还是伪造的。
他们知道什么?
来源是否没有您认为他们应该有的信息,比如您的全名等?记住,如果银行打电话给您,他们面前应该有所有这些数据,并且在允许您对账户进行更改前总是会询问安全问题。如果没有,那么是伪造电子邮件/电话/消息的可能性就大大增加,您应该提高警惕。
打破循环
社会工程经常依赖紧迫感。攻击者希望他们的目标不要对发生的事情想太多。因此,花一点时间思考就可能会阻止这些攻击或展现它们的真面目 - 伪造。
拨打官方电话或访问官方网站 URL,而不是在电话中给出数据或点击某个链接。使用其他通信方法检查来源的可信度。例如,如果您收到一个朋友的电子邮件要求您汇款,则向他们的手机发短信,或者打电话给他们核实是否真的是他们。
要求提供 ID
最简单的社会工程攻击之一是抱一个大箱子或一大堆文件来绕过安全系统进入大楼。毕竟,一些助人为乐的人会把门打开。不要上这种当。务必要求提供 ID。
这同样适用于其他方法。无论谁打来电话都检查名字和号码,或者询问“你向谁汇报?”,这应该是对信息请求的基本答复。然后,在提供任何私人信息或个人数据之前,简单地检查组织图表或电话目录。如果您不认识请求信息的个人,并且仍然对提供信息感到不妥,请告诉他们您需要向其他人核实,然后再答复他们。
使用好的垃圾邮件过滤器
如果您的电子邮件程序不能过滤出足够的垃圾邮件或标记可疑电子邮件,则可能需要更改设置。好的垃圾邮件过滤器使用各种信息来确定哪些电子邮件可能是垃圾邮件。它们可能会检测到可疑文件或链接,可能有可疑 IP 地址或发件人 ID 的黑名单,或者可能分析邮件的内容以确定哪些邮件可能是伪造的。
符合实际吗?
一些社会工程攻击的运作方式是试图诱骗您不要进行分析,其实花点时间评估一下情况是否符合实际,就可以帮助检测许多攻击。例如:
- 如果您的朋友真的被困在中国且无路可走,他们会给您发电子邮件还是会给您打电话/发短信?
- 一个尼日利亚王子可能在遗嘱中给您留下一百万美元吗?
- 银行会打电话问您的账户详细信息吗?实际上,许多银行在向客户发送电子邮件或给他们打电话时都有记录。因此,如果您不确定,请仔细检查。
动作不要太快
当您在对话中感觉到紧迫感时,要特别小心。这是恶意行为者阻止其目标思考问题的一种标准方法。如果您觉得有压力,那就放慢过程。就说您需要时间来获取信息,您需要询问经理,您现在没有正确的详细信息 - 可以使事情变慢的任何借口,让您有时间思考。
大多数时候,如果社会工程攻击者意识到失去了突然袭击的优势,他们就不会得寸进尺。
保护您的设备
保护设备也很重要,这样即使社会工程攻击成功,其收获也有限。无论是智能手机、基本家庭网络还是大型企业系统,基本原理都相同。
- 保持您的反恶意软件和反病毒软件为最新。这有助于防止通过网络钓鱼电子邮件传播的恶意软件自行安装。使用卡巴斯基反病毒软件等软件包来保护您的网络和数据安全。
- 保持软件和固件的定期更新,尤其是安全补丁。
- 不要运行被破解root权限的手机,或以管理员模式运行网络或PC。即使社会工程攻击获得您的“用户”帐户的密码,他们也无法重新配置您的系统或在其上安装软件。
- 不要对不同的帐户使用相同的密码。如果社会工程攻击获得了您的社交媒体帐户的密码,您不会希望他们也能够解锁所有其他帐户。
- 对于关键帐户,使用双重身份验证,这样即使有密码也不足以访问该帐户。这可能涉及语音识别、使用安全设备、指纹或短信确认码。
- 如果您暴露了某个帐户的密码,并且认为您可能已被“工程”,请立即更改密码。
- 通过成为我们的资源中心的定期读者,随时了解新的网络安全风险。当新的攻击方式出现时,您将了解所有相关信息,让您成为受害者的可能性大大降低。
考虑您的数字足迹
您可能还需要考虑一下您的数字足迹。在线过度分享个人信息(例如通过社交媒体)可能会帮助攻击者。例如,许多银行将“您的第一只宠物的名字”作为一个可能的安全问题 - 您是否在 Facebook 上分享了?如果是,您可能很容易受到攻击!此外,某些社会工程攻击将通过参考您可能在社交网络上分享的近期事件来尝试获得信任。
我们建议您将社交媒体设置更改为“仅限好友”,并注意分享的内容。您无需多疑,小心一些就好。
考虑一下您在线分享的生活中的其他方面。例如,如果您有在线简历,则应考虑编辑地址、电话号码和出生日期 - 对计划社会工程攻击的人有用的所有信息。虽然有些社会工程攻击不会深入挖掘受害者,但有些则经过精心准备 - 给这些犯罪分子提供较少的可用信息。
社会工程非常危险,因为它利用完全正常的情况,并进行操纵来达到恶意目的。不过,通过充分了解它的运行机制并采取基本的预防措施,您成为社会工程受害者的可能性将大大降低。
相关链接