社会工程攻击由多个阶段组成。 犯罪者首先分析目标受害者,以获取实施攻击所需的背景信息,例如可能的进入路线和薄弱的安全机制。 本文将解释社会工程、社会工程攻击、如何保护自己免受社会工程侵害,以及社会工程示例。
这是通过说服人们善意地提供敏感的个人信息(例如帐号、密码或银行信息)来在网络环境中操纵人们的做法
当“工程师”要求受害者将钱汇给受害者认为是与受害者有业务往来的金融机构或个人,但钱最终进入“工程师”的账户时,社会工程也可能发生。
如果有担保,网络和隐私保险计划可以承保社交工程造成的损失,但承保金额通常最高为 100,000 美元。 此外,社会工程保险(也称为“欺诈指示保险”)仅作为超出任何适用商业犯罪保险保单限额的额外保险提供。
什么是社会工程
社会工程是一种利用人们的错误来获取私人信息、访问权限或商品的方法。 在网络犯罪中,这些所谓的“人为黑客”诈骗通常被用来欺骗不知道发生了什么的用户泄露数据、传播恶意软件攻击或授予对应保密的系统的访问权限。 攻击可以当面发生、在线发生或以其他方式发生。
社会工程是一种基于人们的思维和行为方式的欺诈。 因此,社会工程攻击是改变一个人行为方式的好方法。 一旦攻击者知道是什么促使用户做他们所做的事情,他们就可以很好地欺骗和控制用户。
此外,黑客还试图利用用户缺乏专业知识的优势。 由于技术发展如此之快,许多客户和员工并不了解偷渡式下载等风险。 人们可能也没有意识到电话号码等个人信息的重要性。 因此,许多用户不知道如何保护自己及其信息的安全。
另请参阅: 在线黑客:10 种类型的黑客和危险以及他们将如何伤害您
社会工程攻击
涉及社会工程的攻击可以采取多种不同的形式,并且可能发生在人们相互交谈的任何地方。 以下是遭受社会工程攻击的五种最常见方式。
#1. 诱饵
诱饵攻击,顾名思义,使用虚假报价来让人们变得贪婪或好奇。 人们容易陷入陷阱,窃取他们的私人信息或在他们的计算机上放置恶意软件。
恶意软件通过实际媒体传播,这是最令人讨厌的诱饵类型。 例如,攻击者将诱饵(通常是带有恶意软件的闪存驱动器)留在潜在受害者肯定会看到的地方,例如浴室、电梯和目标公司的停车场。 诱饵看起来很真实,上面有一个标签,上面写着这是公司的工资清单。
人们因为好奇而上当,然后将其放入工作或家里的计算机中,该计算机会自动在系统上安装恶意软件。
使用诱饵的诈骗不一定会发生在现实世界中。 在线诱饵采用的广告形式看起来不错,但会引导至有害网站,或试图让人们下载感染恶意软件的软件。
#2. 恐吓软件
恐吓软件是社会工程攻击的一种。 它涉及向人们发送大量虚假警告和虚假威胁。 用户被欺骗,认为他们的计算机感染了恶意软件,这使得他们运行的软件不会做任何有用的事情(除了做这件事的人之外)或者本身就是恶意软件。 恐吓软件也称为欺诈软件、非法扫描软件和欺骗软件。
恐吓软件通常以弹出横幅的形式出现,看起来很真实,并说“您的计算机可能感染了有害的间谍软件程序”。 它要么会主动为您安装该工具(通常会受到恶意软件的污染),要么会将您发送到会感染您的计算机的恶意站点。
恐吓软件还通过垃圾邮件传播,这些垃圾邮件会发出错误警告或试图让人们购买无用或具有破坏性的服务。
#3。 借口
借口是社会工程攻击的另一种形式,当攻击者通过一系列精心设计的谎言获取信息时就会发生这种攻击。 声称需要受害者的敏感信息才能完成重要任务的人通常会开始诈骗。
攻击者通常首先冒充同事、执法人员、银行家或税务官员或任何有权知情的个人。 冒名顶替者提出的问题似乎是验证受害者身份所需的,但实际上是用来获取重要的个人信息的。
该骗局收集各种重要信息和记录,例如社会安全号码、个人地址和电话号码、电话记录、员工休假日期、银行记录,甚至有关真实工厂安全的信息。
#4。 网络钓鱼
网络钓鱼诈骗是电子邮件和短信活动,试图让人们感觉他们需要迅速采取行动、感到好奇或感到害怕。 这是一种非常常见的社会工程攻击类型。 然后,它会诱骗他们泄露私人信息、点击恶意网站的链接或打开包含恶意软件的附件。
一个例子是在线服务的用户在违反要求他们立即执行某些操作(例如更改密码)的规则时收到的一封电子邮件。 它有一个虚假网站的链接,看起来几乎与真实网站一模一样。 该假冒网站要求用户输入当前的登录信息和新密码。 发送表单时,该信息会发送给攻击者。
由于网络钓鱼方案向所有用户发送相同或几乎相同的消息,因此能够访问威胁共享平台的邮件服务器更容易找到并阻止它们。
另请参阅: 网络安全顾问:概述和 2023 年最佳供应商
保护自己免受社会工程的侵害
在社会工程攻击中,攻击者试图通过与他们可以信任的人建立关系来访问数据或服务。 保持警惕是第一道防线。 攻击者可能会尝试以质疑的方式与您交谈。 但保护自己免受社会工程侵害的最佳方法是了解可以信任的人并让自己值得信任。 您需要找出谁可以访问或更改您的帐户,并确保他们有充分的理由这样做。 以下是保护自己免受社会工程侵害的方法。
#1. 未知发件人(电子邮件与短信)
仔细查看发件人的电子邮件地址和邮件本身。 重要的是要知道您不必单击任何指向可疑文档的链接。
#2. 停止分享个人信息
在提供密码和信用卡号等个人信息之前,您应该考虑一下。 任何真正的企业或个人都不应该要求此类私人信息。 使用难以猜测的密码并经常更改。 如果您对多个帐户使用相同的密码,您可能会成为社交工程攻击的目标。
#3。 安全层
只要有可能,就使用两个因素进行验证。 它可以通过要求用户输入用户名、密码和发送到手机的代码来增加额外的安全层。 为您的电子邮件和电话号码设置安全代码,这样如果有人进入任一系统,他们就无法直接使用您的帐户。
#4。 防毒软件
在您拥有的每台设备上安装防病毒和反恶意软件软件。 使这些程序保持最新状态,以便它们可以保护您免受最新威胁。 但如果您的设备上加载了防病毒软件,它可以很好地防御社交工程。
#5。 时刻注意任何风险
您应该始终考虑风险。 检查两次甚至三次,以确保任何信息调用都是正确的。 如果最近的违规行为给您造成了伤害,请留意网络安全新闻。
社会工程示例
新闻中有很多社会工程的例子,但这里有五个可以让您了解它是如何运作的:
#1. 万豪酒店
黑客组织利用社会工程方法从万豪酒店窃取了 20 GB 的个人和财务数据。 黑客找到了万豪酒店的一名工作人员,让他们能够访问该工作人员的计算机。
#2. 美国劳工部 (DoL)
这是一个窃取 Office 365 登录信息的社会工程攻击示例。该攻击是通过智能网络钓鱼完成的,使用看起来与真实 DoL 域一模一样的虚假域。 这些电子邮件看起来像是来自一名劳工部高级工作人员,要求他们竞标政府职位。 当员工点击“出价”按钮时,他们会被带到一个“网络钓鱼”网站,该网站用于窃取密码。
#3。 缩放用户
针对员工的网络钓鱼操作影响了至少 50,000 万人。 社会工程师利用对被解雇的恐惧,让员工点击链接,与人力资源部召开 Zoom 会议。 当员工点击该链接时,他们会进入一个伪造的 Zoom 登录页面,该页面旨在窃取密码。
#4。 FACC(奥地利飞机制造商)
由于复杂的商业电子邮件泄露 (BEC) 骗局,FACC 遭受了约 42 万欧元的损失。 该公司首席执行官的电子邮件帐户遭到黑客攻击,并被用来发送“紧急”转账请求。 这封电子邮件欺骗了一名应付账款工作人员,该人员同意了该请求并将钱转给了窃贼。
#5。 众击回调
社会工程的威力如此之大,连安全公司都感受到了。 Crowdstrike 现在被用作社会工程游戏的一部分和示例。 诈骗者使用 Crowdstrike 和其他安全公司的可信名称向员工发送网络钓鱼电子邮件。 该电子邮件包含有关可能的恶意软件攻击的信息以及用于清除已安装的任何恶意软件的电话号码。 如果员工达到了该号码,员工就会被欺骗,让攻击者访问他们的计算机。
另请参阅: 什么是网络安全? 例子、威胁和重要性
结论
为了保护自己免受社会工程威胁,您需要学习如何保护自己。 由于我们已经向您介绍了一些久经考验的方法以及在世界各地长期使用的社会工程攻击示例,因此请务必立即开始采取措施。 社会工程攻击可以在几秒钟内损害一个人的职业生涯。 始终使用两个设置的登录验证码来保护您的设备、密码和其他登录信息。 这是另一项安全措施。
什么是网络社会工程?
这个术语指的是所有用来诱骗某人放弃信息或做他们不应该做的事情的方法。
最常见的社会工程是什么?
最常见的攻击是:
- 网络钓鱼攻击。
- 集中黑客攻击。
- 捕鲸。
- 短信钓鱼和网络钓鱼。
- 诱饵。
- 捎带/尾随。
- 借口。
- (BEC) 商业电子邮件泄露
社会工程是最大的威胁吗?
社会工程是一种严重依赖人类接触的攻击,通常涉及诱骗人们破坏正常的安全程序和最佳实践,以非法访问系统、网络、物理场所或赚钱。
谁是社会工程最有可能的目标?
富有、知名或担任高级职位的人最常成为社会工程攻击的目标。 犯罪分子会追捕拥有大量权力和渠道的人。
抵御社会工程的最佳防御是什么?
人们认为阻止社会工程攻击的最佳方法是培训和教育公司员工。
社会工程又称为什么?
由于社会工程针对的是人类的弱点,而不是技术或数字系统的弱点,因此也被称为“人类黑客”。 这是因为其主要目标是弱势群体。
参考资料
相关文章
