社会工程是一种操纵手段,其目的是利用人为失误来获取私人信息、访问权限或有价值的东西。在网络犯罪中,这些“人为的黑客”诈骗往往是诱骗毫无戒心的用户泄露数据、传播恶意软件感染或提供受限系统的访问权限。攻击可能会发生在线上、面对面互动和其他互动中。
基于社会工程的诈骗通常是围绕人们的思维和行为来设计的,因此社会工程攻击对于操纵用户的行为特别有用。一旦攻击者掌握了用户某个行为的动机,就可以有效地欺骗和操纵用户。
此外,黑客还试图利用用户的知识空缺来实施诈骗。由于技术发展的日新月异,许多消费者和员工并没有意识到某些威胁,比如偷渡式下载。用户可能对电话号码等个人数据的全部价值并没有充分的了解。因此,很多用户并不确定如何才能最有效地保护自己和个人信息的安全。
社会工程攻击者通常怀着以下两种目的:
了解社会工程的具体运作方式可以对这种攻击手段有进一步的认识。
大多数社会工程攻击依赖攻击者和受害者之间的真实沟通。攻击者往往会诱骗用户主动泄露数据,而不是使用暴力破解方法强行入侵。
网络犯罪分子欺骗受害者有一个缜密的过程,即攻击周期。社会工程攻击周期通常包含以下步骤:
攻击者完成整个过程可能只需要一封电子邮件,也可能需要在社交媒体上保持长达数月的聊天沟通,甚至可能与受害者面对面互动。无论是哪种方式,最终目的都是诱使您采取攻击者期望的行动,比如分享信息或暴露于恶意软件。
社会工程作为一种迷惑人心的手段,必须时刻加以警惕。许多企业员工和消费者都没有意识到,只需少许信息,黑客就可能获得多个网络和账户的访问权限。
通过伪装成合法用户骗过 IT 技术支持人员,他们会获取您的私人信息,比如姓名、出生日期或地址。接下来,重置密码并获得几乎无限制的访问权限就再简单不过了。他们可以窃取钱财,散布社会工程恶意软件并实施其他犯罪。
社会工程攻击的核心是攻击者运用强大的说服力并骗取受害者的信任。当攻击者对您施展这些手段时,您就更有可能出现失误行为。
在大多数攻击中,您会因为被误导而出现以下行为:
情绪高涨:情绪操纵让攻击者在任何互动中都能占据上风。在情绪高涨的状态下,您更有可能采取非理性或有风险的行动。攻击者会利用以下各种情绪,达到令您信服的目的。
紧迫性:稍纵即逝的机会或时间紧迫的请求是攻击者又一个杀伤力极强的利器。您可能会被蒙骗,误以为有一个严重问题必须立即引起重视,促使自己做出妥协。或者,攻击者让您以为会得到奖金或奖励,但如果不立即采取行动,就可能会丧失良机。这两种手段都会干扰您严谨思考的能力。
信任:对于社会工程攻击来说,信任感非常重要,也是必不可少的。由于攻击者的最终目的是欺骗您,所以得到您的信任就非常重要。他们已经对您有足够的研究,编出一个您很容易相信而且不会有所怀疑的故事。
有些社会工程攻击并不具备这些特征。在某些情况下,攻击者会使用更简单的社会工程方法来获取网络或计算机的访问权。比如,黑客可能会经常光顾大型办公楼的公共餐饮区,并“肩窥”正使用平板电脑或笔记本电脑工作的用户。这样可以窃取到大量密码和用户名,他们甚至连一封电子邮件都不用发,也用不着编写病毒代码。
现在您已经理解了基本概念,您可能很想知道“什么是社会工程攻击,我该如何识别?”
几乎每种类型的攻击都包含某种类型的社会工程。例如,典型的电子邮件和病毒诈骗就充满了社会工程的色彩。
除了台式设备外,社会工程还可以通过移动设备攻击,以数字方式对您造成影响。然而,即便是在线下,您也很容易遇到来自攻击者的威胁。这些攻击可能相互重叠交织,以制造骗局。
下面是社会工程攻击者常用的一些手段:
网络钓鱼攻击者冒充可信的机构或个人,试图诱使您主动泄露个人数据和其他有价值的信息。
从攻击目标来看,网络钓鱼攻击有两种方式:
无论是直接沟通还是通过伪造的网站表格,您分享的任何信息都会直接落入诈骗者之手。您甚至可能被诱骗下载包含进一步网络钓鱼攻击的恶意软件。网络钓鱼使用的方法各有独特的传递模式,包括但不限于:
语音钓鱼:在通话时,您的所有语音内容都可能被自动消息系统记录下来。有时,电话那头是个真人,会让您觉得更加可信,紧迫感也更强烈。
短信钓鱼:短信或手机应用传递的消息可能包括通过欺诈电子邮件或电话号码发送的网页链接或跟进提示。
电子邮件钓鱼:这是最传统的网络钓鱼方式,通过电子邮件催促您回复或通过其他方式跟进。攻击者会使用网页链接、电话号码或恶意软件附件。
灯笼式钓鱼:这种攻击发生在社交媒体上,攻击者冒充可信公司的客服团队。他们会截获您与某个品牌的通信,劫持并将您的对话转移到私信中,然后开始发动攻击。
搜索引擎钓鱼:攻击者试图将虚假网站的链接置于搜索结果的顶部。这可能是通过付费广告,也可能是使用合法的优化方法来操纵搜索排名。
URL 钓鱼:这类链接意图诱使您访问网络钓鱼网站。这些链接一般通过电子邮件、短信、社交媒体消息和在线广告进行传递。攻击会使用链接缩短工具或伪装的 URL,将链接隐藏在超链接文本或按钮中。
会话钓鱼:这种攻击会干扰您对网页的正常浏览。例如,您可能会在当前访问的页面上看到虚假的登录弹窗。
下饵是利用您天生的好奇心,诱使您将自己暴露给攻击者。通常情况下,攻击者会用免费或专属的东西实施操纵,诱使您采取某种行动。这种攻击通常会用恶意软件来感染您的设备。
常用的下饵方法包括:
物理入侵是指攻击者亲自出马,冒充合法人员,以获得未经授权的区域或信息的访问权限。
这种性质的攻击在企业环境中最为常见,例如政府、公司或其他组织。攻击者可能会冒充与该公司合作的某家可信的知名供应商的代表。一些攻击者甚至可能是最近被解雇的员工,他们心怀怨恨,想要报复前雇主。
他们会故意模糊自己的身份,但还要确保足够可信以免被怀疑。这需要攻击者做些研究,并且风险较大。因此,如果有人试图使用这种方法,代表他们已经确定一旦成功,回报将非常可观。
假托是利用欺骗性身份作为“幌子”来建立信任,例如直接冒充供应商或工厂员工。这种方法需要攻击者更主动地与您进行接触。一旦您相信他们的合法性,他们就会有机可乘。
尾随(又称“捎带”)是指紧跟在已获授权的员工身后进入访问受限的区域。攻击者可能会利用社交礼仪让您帮忙开门,或者让您相信他们也有进入该区域的权限。攻击者还可能同时采用假托的手段。
“等价交换”的大致意思是“以物易物”,在网络钓鱼的语境中,该词是指用您的个人信息换取某种奖励或其他补偿。赠品或参加研究学习的机会可能会使您面临这种类型的攻击。
这类攻击利用的是您想要通过低投入获得高价值之物的心理。然而,攻击者只是拿走了您的数据,而您并没有得到任何回报。
DNS 欺骗是操纵您的浏览器和 Web 服务器,当您输入合法的 URL 时,您会被重定向到恶意网站。一旦遭受这种攻击,除非从被感染的系统中清除不准确的路由数据,否则重定向将一直持续。
DNS 缓存中毒攻击通过合法的 URL 或多个 URL 的路由指令,将您链接到欺诈网站,从而感染您的设备。
恐吓软件是一种恶意软件,用于恐吓您采取某种行动。这种欺骗性的恶意软件会发出令人惊恐的警告,包括报告虚假的恶意软件感染或声称您的某个账户已被攻破。
然后,恐吓软件会促使您购买欺诈性网络安全软件,或透露账户凭证等私人信息。
水坑攻击通过恶意软件感染热门网页,导致很多用户同时受到影响。攻击者需要仔细规划,找到特定网站上的漏洞。他们会寻找目前存在但尚未被发现和修补的漏洞,这些漏洞被称为零日漏洞。
此外,他们可能会找到尚未更新基础设施来修复已知漏洞的网站。网站所有者可能选择延迟软件更新,以保持当前软件版本的稳定运行。当新版本在系统稳定性方面得到证明后,他们才会切换成新版本。黑客会利用这种行为来攻击最近修补的漏洞。
在某些情况下,网络犯罪分子使用十分复杂的方法来完成网络攻击,其中包括:
基于传真的网络钓鱼:一家银行的客户收到一封声称来自银行的虚假电子邮件,要求客户确认密码,但确认方式不是通过常规的电子邮件/互联网途径,而是要求客户打印出电子邮件中的表格,然后填写详细资料,并将表格传真给网络犯罪分子的电话号码。
传统邮件恶意软件分发:在日本,网络犯罪分子利用送货上门服务分发感染了木马间谍软件的光盘。光盘被送到某家日本银行的客户手中,而客户的地址是之前从银行数据库中窃取的。
恶意软件攻击很常见,并且会造成长期的影响,因此必须格外留意。
当恶意软件创建者利用社会工程手段时,他们能够诱骗不谨慎的用户启动受感染的文件或打开指向受感染网站的链接。许多电子邮件蠕虫和其他类型的恶意软件使用的都是这类方法。如果您的移动设备和台式设备没有安装全面的安全软件套件,您就很可能会受到感染。
网络犯罪分子的目标是引起用户对链接或受感染文件的注意,然后设法让用户点击。
这类攻击的示例包括:
受感染网站的链接可以通过电子邮件、ICQ 和其他 IM 系统发送,甚至可以通过 IRC 网络聊天室传播。手机病毒通常通过短信传播。
无论使用哪种传播方式,相关消息通常都会包含醒目惹眼或让人感兴趣的措辞,鼓励不知情的用户点击链接。这种系统入侵方法可以让恶意软件绕过邮件服务器的反病毒过滤器。
P2P 网络也会被用来分发恶意软件。P2P 网络上会出现蠕虫或木马病毒,通常以引人注意的方式命名,并诱使用户下载并启动文件。例如:
在一些情况下,恶意软件创建者和分发者会采取措施降低受害者报告感染事件的可能性:
受害者可能会对某种免费工具或指南的虚假宣传信以为真,其中承诺以下非法的利益:
在这些情况下,当受害者最终发现下载内容是木马病毒时,他们会极力避免暴露自己的非法意图。因此,受害者可能不会向任何执法机构报告感染事件。
利用这种手段的攻击还有一个例子,即向获取自招聘网站的电子邮件地址发送木马病毒。网站的注册用户收到虚假的工作邀请邮件,而这些邮件中包含木马病毒。这种攻击主要针对公司电子邮件地址。网络犯罪分子知道,收到木马邮件的员工不会想要告诉雇主他们是在另谋工作时受到了感染。
要防范社会工程攻击,您需要保持自我意识。在做任何事情或作出回应之前,一定要三思而后行。
攻击者希望您不顾风险地采取行动,因此您应该反其道而行之。如果您怀疑这是一次攻击,反思下列问题会对您有所帮助:
除了识别攻击,您还可以主动保护自己的隐私和安全。了解如何防范社会工程攻击对于所有移动和计算机用户都非常重要。
下面是保护自己免受各种类型的网络攻击的重要方法:
在线通信的安全隐患较大。社交媒体、电子邮件和短信都是常见的攻击目标,同时也要重视面对面互动的安全性。
切勿点击任何电子邮件或消息中的链接。无论发件人是谁,都必须手动在地址栏中输入 URL。此外,还应展开进一步的调查,找到相关 URL 的官方版本。切勿使用任何未经官方或合法性验证的 URL。
使用多因素身份验证。当密码不再是唯一的安全防线时,在线账户会得到更好的安全保障。在登录账户时,多因素身份验证会通过更多验证步骤来确认您的身份。这些“因素”可能包括指纹或人脸识别等生物特征,或通过短信发送的一次性密码。
使用强密码(和密码管理器)。您的每个密码都应该是唯一和复杂的。确保使用不同类型的字符,包括大写字母、数字和符号。此外,您应该尽可能选择更长的密码。为了方便管理所有自定义的密码,您可能需要使用密码管理器来安全地存储和记住这些密码。
避免分享您的学校名、宠物名、出生地或其他个人信息。您可能会在不知情的情况下透露安全问题的答案或密码中包含的信息。如果您将安全问题设置成容易记住但并不准确的答案,那么网络犯罪分子会更难破解您的账户。如果您的第一辆车是“丰田”,那么答案可以设置成“小丑车”,这样就可以摆脱窥探您信息的黑客。
网上交友要非常谨慎。虽然互联网可以作为您与世界各地的人们建立联系的有效途径,但也是社会工程攻击的常用渠道。留意表明操纵或明显滥用信任的迹象和危险信号。
遭到入侵的在线网络也可能成为漏洞点,被用于进行背景调查。为了避免自己的数据被用来对付自己,您必须对接入的任何网络采取防护措施。
切勿让陌生人接入您的 Wi-Fi 主网络。无论是在家里还是在工作场所,应提供访客专用的 Wi-Fi 连接。这能够确保您已经加密、受密码保护的主连接保持安全,并且不会遭到拦截。即便有人想要“窃听”您的信息,他们也无法访问您和其他人想要保密的活动。
使用 VPN。如果有人在您的主网络(有线、无线或蜂窝网络)上寻找拦截流量的方法,虚拟专用网络 (VPN) 可以杜绝这种风险。VPN 提供的服务包括在您使用的任何互联网连接上为您提供加密的私人“隧道”。您的连接不仅受到保护,不会被人监视,而且数据也是匿名的,因此无法通过 Cookie 或其他方式跟踪到您。
确保所有接入网络的设备和服务是安全的。许多人都知道如何保护移动设备和传统计算机的在线安全。然而,除了各类智能设备和云服务之外,对网络本身的保护也同样重要。对汽车信息娱乐系统和家庭网络路由器等设备的保护常常被忽视,因此必须加强重视。这些设备上的数据泄露可能会使社会工程诈骗更具有个人针对性。
保护设备本身的安全和所有其他数字行为一样重要。下面是有关如何保护手机、平板电脑和其他计算机设备的建议:
使用全面的互联网安全软件。一旦社会工程手段得逞,您通常会被恶意软件感染。为抵御 rootkit、木马以及其他僵尸病毒,使用一个既能消除感染,又能帮助追踪其来源的高质量互联网安全解决方案是至关重要的。
永远不要在公共场合让设备处于不安全状态。一定要锁定计算机和移动设备,尤其是在工作时。在机场和咖啡店等公共场所使用设备时,请务必保管好它们。
及时更新所有软件。即刻更新可以为软件提供必要的安全补丁。如果忽略或延迟对操作系统或应用程序的更新,就等于将已知的安全漏洞摆在黑客面前,等着他们攻击。黑客们知道很多计算机和移动设备用户都有这样的行为,您就成了社会工程恶意软件攻击的主要目标。
检查在线账户是否存在已知的数据泄露。卡巴斯基优选版等服务会主动监控您的电子邮件地址是否存在已有和新出现的数据泄露。如果泄露的数据中包含您的账户,您将收到通知以及如何采取行动的建议。
防范社会工程要从加强宣传着手。如果所有用户都意识到这些威胁,社会的整体安全将得到改善。请务必向同事、家人和朋友分享您所学到的内容,共同提高对这些风险的认识。
相关文章: