欺骗的艺术——你被社工了吗?
社会工程通过人类交互来完成黑客活动,在网络攻击中,黑客们可以凭借一些细微的线索,比如用户名、图片或者社交平台的动态来完成信息的重新梳理,并以此拼凑出你的个人情况,社会背景等信息,使用心理操纵来诱骗用户犯安全错误或泄露敏感信息。
社会工程攻击发生在网络攻击的一个或多个步骤中。攻击者首先调查目标受害者以收集必要的背景信息,采取行动以获得受害者的信任,并为破坏安全实践的后续行动提供刺激,例如泄露敏感信息或授予对关键资源的访问权限。社会工程的危险的在于它依赖人为错误,而非软件和操作系统中的漏洞。合法用户犯的错误更难预测,这使得它们比基于恶意软件的入侵更难识别和阻止。
本篇文章将详细介绍社会工程攻击方式以及如何进行防范。
社会工程攻击
社会工程攻击有许多不同的形式,可以在涉及人机交互的任何地方执行。以下是五种最常见的数字社会工程攻击形式。
实物/在线诱饵
顾名思义,诱饵攻击使用虚假承诺来激起受害者的贪婪或好奇心,引诱用户进入一个窃取他们的个人信息或给他们的系统带来恶意软件的陷阱。
最受诟病的诱饵形式使用物理媒体来传播恶意软件,比如公司工资单中的标签,电脑桌上的U盘,这些日常中随处可见的工具有可能其实是黑客留下的诱饵。受害者出于好奇拿起诱饵并将其插入工作或家庭计算机中,从而导致系统上自动安装恶意软件。
诱饵骗局不一定要在现实世界中进行,在线诱饵形式包括引向恶意网站或通过一些虚假广告、非法网站鼓励用户下载受恶意软件感染的应用程序。
恐吓软件
恐吓软件涉及受害者受到虚假警报和虚构威胁的轰炸。黑客通过掌握受害者的个人信息,欺骗他们系统感染了恶意软件或遭到攻击,从而促使用户安装真正的恶意软件。恐吓软件也称为欺骗软件、流氓扫描软件和欺诈软件。
一个常见的恐吓软件示例是在您浏览网页时出现在您的浏览器中的看似合法的弹出横幅,显示诸如“您的计算机可能感染了有害的间谍软件程序”之类的文字。从而为用户提供安装工具(通常受恶意软件感染),或者引导用户通往计算机被感染的恶意站点。
恐吓软件还通过垃圾邮件分发,发出虚假警告,或为用户提供购买无价值/有害服务的提议。
信息刺探
该骗局通常由犯罪者发起,假装需要受害者的敏感信息以执行关键任务。攻击者通常首先通过冒充同事、警察、银行和税务官员或其他具有知情权的人与受害者建立信任,并借机提出需要确认受害者身份,通过这些问题收集重要的个人数据。
各种相关信息和记录都是通过这种骗局收集的,例如社会安全号码、个人地址和电话号码、电话记录、员工休假日期、银行记录,甚至与实体工厂相关的安全信息。
网络钓鱼
作为最流行的社会工程攻击类型之一, 网络钓鱼诈骗直接通过电子邮件和短信让受害者产生紧迫感、好奇心或恐惧感,促使他们泄露敏感信息、点击恶意网站的链接或打开包含恶意软件的附件。
攻击者通过发送电子邮件,提醒用户违反政策,需要他们立即采取行动,例如要求更改密码,从而将用户指向非法网站——外观几乎与其合法版本相同——促使用户输入他们当前的凭据和新密码。
网络钓鱼的漏洞在于,攻击者在此过程中项向所有用户发送相同或几乎相同的消息,对于一些有权访问威胁共享平台的邮件服务器来说,可以更容易的发现这些攻击并予以拦截。
鱼叉式网络钓鱼
这是网络钓鱼诈骗的更有针对性的版本,攻击者可以选择特定的个人或企业。根据受害者的特征、工作职位和联系人来定制他们的信息,并且可能需要数周和数月才能完成,但是这种攻击往往更难被发现并且成功率更高。
社会工程学预防
社会工程师操纵人类的感情,通过让受害者产生好奇或恐惧,从而将受害者拉入设计好的陷阱。天上不会掉馅饼,当你在网页或邮件中看到一些令人难以拒绝的优惠时,那大概率可能是个陷阱。保持警惕可以保护自己免受数字领域中发生的大多数社会工程攻击。
• 不要打开来自可疑来源的电子邮件和附件
如果不认识相关发件人,无需回复邮件。即使确实认识他们也要保持警惕,交叉检查并确认来自其他来源的消息,例如通过电话或直接来自服务提供商的网站。即使是据称来自可信来源的电子邮件也可能实际上是由攻击者发起的。
• 使用多因素身份验证
攻击者寻求的最有价值的信息之一是用户凭据,使用多因素身份验证有助于确保您的帐户在系统受损时得到保护。
• 保持您的防病毒/反恶意软件更新
确保使用自动更新,定期检查以确保已应用更新,并扫描您的系统以查找可能的感染。