岗位

网络攻击者使用社会工程攻击,这是一种针对人的因素,而不是计算机系统及其软件的攻击类型。攻击者试图骗取一个人的行动,让他们获得对受害者电脑的访问。

这种攻击的最常见类型之一是中间人攻击。中间人攻击是指攻击者冒充他人,欺骗受害者,使其相信他们是通过正常化的协议,如交互式语音应答、电子邮件、即时通讯和网络会议,直接与对方交谈。

通过人为操纵的黑客攻击比直接从外部来源的黑客攻击更容易执行。本文讨论了为什么SE攻击在增加,以及为什么网络攻击者通常使用这些战术。

为什么网络攻击者使用社会工程攻击:可能的原因和理由

社会工程攻击是当今黑客使用的最流行和有效的方法之一。这些攻击经常利用人与人之间的关系,如员工的信任和熟悉程度,或员工与客户之间的物理距离。

a.人的因素是传统安全中最薄弱的环节

攻击在依靠人与人之间的互动时往往更加有效,这意味着技术没有办法保护我们免受攻击。

攻击者所需要的只是关于其目标的习惯或偏好的一点信息,以及在如何向受害者展示自己方面的一些创意。

这导致攻击者得到了他们想要的东西,而不必求助于更复杂的技术,如入侵一个组织的网络或闯入一个公司的系统。

b.没有必要使用高级黑客技术

社会工程攻击利用人们的信任来获得对系统或网络的访问。这些攻击之所以有效,是因为攻击者很容易获得访问权,而不是使用先进的黑客技术强行进入网络。

当攻击者这样做时,他们通常使用心理上的操纵技术,如网络钓鱼、鱼叉式网络钓鱼和借口。

➜ 网络钓鱼是指攻击者发送看似合法的电子邮件,但其目的是欺骗用户提供他们的个人信息,如密码或信用卡信息。

➜ 鱼叉式网络钓鱼是指攻击者使用与网络钓鱼相同的方法,但采用更先进的技术,如冒充他人来骗取你的信息。

➜ 伪装是指攻击者在试图窃取受害者的钱财之前使用伪装来获得受害者的信任。

一旦攻击者获得了对你的系统或网络的访问权,他们就可以在里面做任何他们想做的事情,包括安装程序、修改文件,甚至删除它们,而不会被安全系统或管理员发现,如果他们知道他们的网络内发生了什么,就可以阻止他们这样做

c.垃圾箱潜水比强行进入网络更容易

垃圾箱潜水是指从被丢弃的材料中获取信息以进行社会工程攻击的行为。这种技术包括在垃圾中寻找宝藏,如写在便条上的访问代码或密码。垃圾箱潜水使这种活动很容易进行,因为它允许黑客在没有实际闯入的情况下获得对网络的访问。

倾倒垃圾者发现的信息范围很广,从平凡的,如电话列表或日历,到更多看似无辜的数据,如组织结构图。但是,这些看似无害的信息可以帮助攻击者使用社会工程技术来获得对网络的访问。

此外,如果一台电脑已经被处理掉了,它可能是网络攻击者的宝库。从存储介质中恢复信息是可能的,包括已经被删除或不适当格式化的驱动器。存储的密码和受信任的证书往往存储在电脑上,容易受到攻击。

被丢弃的设备可能包含可信平台模块(TPM)上的敏感数据。这些数据对一个组织非常重要,因为它允许他们安全地存储敏感信息,如加密密钥。社会工程师可以利用一个组织所信任的硬件ID来制作针对其用户的潜在漏洞。

d.利用人们的恐惧、贪婪和急迫感

社会工程攻击很容易进行,因为它们依赖于人的因素。网络攻击者可能使用魅力、说服或恐吓来操纵对方的看法,或利用对方的情绪来获得有关其公司的重要细节。

例如,网络攻击者可能会与公司不满的员工交谈,以获得隐藏的信息,然后利用这些信息来入侵网络。

不满的员工如果觉得自己受到现任雇主的不公平待遇或虐待,就可能向攻击者提供公司的信息。如果他/她没有其他工作,很快就会失业,心怀不满的员工也可能提供有关公司的信息。

更高级的黑客攻击方法涉及使用更先进的技术,如恶意软件、键盘记录器和木马程序来闯入网络。这些先进的技术需要更多的时间和精力,而不仅仅是与心怀不满的员工交谈,以获得可用于入侵网络的隐藏信息。

影响力的六个主要原则

社会工程骗局利用了人类心理的六个具体弱点。这些弱点是由心理学家罗伯特-西雅尔迪尼在他的书《影响力》中确定的。劝说心理学》一书中指出的,它们是。

互惠- 互惠是指用实物来报答恩惠的愿望。我们倾向于对那些帮助过我们的人感到亏欠;我们觉得帮助他们是我们的责任。因此,当有人向我们要东西时--密码、获取财务记录或其他任何东西--如果他们以前帮助过我们,我们就更有可能服从。

承诺和一致性- 我们倾向于在一段时间内做事,而不是只做一次。如果我们已经同意了其中的一个部分--甚至是几个部分,我们就更有可能同意一个请求。如果有人曾经要求查阅你的财务记录,也许再次提出要求并不是什么大不了的事情。

社会证明- 这是一种欺骗技术,依靠的是我们倾向于跟随周围人的脚步(也被称为 "波段效应")。例如,员工可能会被威胁者动摇,因为他提出了虚假的证据,证明另一个员工已经遵守了要求。

喜欢- 我们喜欢那些看起来像负责任的人;因此,黑客可能会向你的电子邮件地址发送一条信息,看起来像是来自你的老板或你的朋友,甚至是你感兴趣领域的专家。这条信息可能会说:"嘿!我知道你在做这个项目,我们需要一些帮助。我们能在不久的将来聚在一起吗?"它通常要求你的帮助--同意的话,你就会泄露敏感信息。

权威- 人们通常服从于权威人士,因为我们认为他们是 "正确 "的人,我们应该跟随和服从。这样一来,社会工程策略就可以利用我们信任那些看起来有权威的人的倾向,从我们这里得到他们想要的东西。

稀缺性- 匮乏是人类的一种本能,是我们大脑中的硬性规定。这是一种 "我现在需要这个 "或 "我应该拥有这个 "的感觉。因此,当人们被社会工程师诈骗时,他们会有一种紧迫感,尽快放弃他们的钱或信息。

易受社会工程影响的个性及原因?

根据网络安全公司Forcepoint X-Lab的人类行为首席研究科学家Margaret Cunningham博士的说法,同意率和外向性是最容易被社会工程利用的人格特征。

认同的人往往是信任的,友好的,并且愿意不问缘由地听从指挥。他们是网络钓鱼攻击的好人选,因为他们更有可能点击链接或打开看似真实的电子邮件的附件。

外向的人也更容易受到社会工程的攻击,因为他们通常喜欢与他人相处,而且他们可能更容易信任他人。他们比内向的人更有可能怀疑他人的动机,这可能导致他们被社会工程师欺骗或操纵。

对社会工程有弹性的个性及原因?

对社会工程攻击有弹性的人往往是自觉的,内向的,并且有很高的自我效能感。

有良知的人最有可能通过关注自己的需求和欲望来抵制社会工程骗局。他们也不太可能顺应他人的要求。

内向的人往往不容易受到外部操纵,因为他们自己花时间,喜欢独处,这意味着他们不太可能受到社会暗示或试图影响他们的人的催促。

自我效能感很重要,因为它帮助我们相信自己,所以我们有更多的信心,相信我们可以抵御来自他人或外部影响的压力。

用PowerDMARC保护你的组织免受社会工程诈骗

社会工程是操纵员工和客户泄露敏感信息的做法,这些信息可用于窃取或破坏数据。在过去,这种信息是通过发送看起来像来自合法来源的电子邮件来获得的,如你的银行或你的雇主。今天,欺骗电子邮件地址要容易得多。

PowerDMARC通过部署电子邮件认证协议,如SPF、DKIM和MARC,来帮助防止这种类型的攻击。 DMARCp=拒绝策略,以尽量减少直接域名欺骗和电子邮件钓鱼攻击的风险。

如果你对保护你自己、你的公司和你的客户免受社会工程攻击感兴趣,请注册我们的 免费DMARC试用今天就注册吧!

在深入探讨受害者每天都会遭受的社会工程攻击类型,以及即将在互联网上掀起风暴的攻击之前,让我们首先简单了解一下社会工程是怎么回事。 

用通俗的话来解释,社会工程是指一种网络攻击部署策略,威胁者利用心理操纵来利用受害者并对其进行欺诈。

社会工程。定义和例子

什么是社会工程攻击?

相对于网络犯罪分子入侵你的电脑或电子邮件系统,社会工程攻击是通过试图影响受害者的意见来操纵他们暴露敏感信息而策划的。安全分析师已经证实,每年发生在互联网上的网络攻击有70%以上是社会工程攻击。

社会工程实例

请看下面的例子。

 

在这里,我们可以看到一个在线广告,以每小时赚取1000美元的承诺来引诱受害者。这个广告包含一个恶意链接,可以在他们的系统上启动一个恶意软件的安装。 

这种类型的攻击通常被称为 "在线诱饵 "或简单的 "诱饵",是一种社会工程攻击的形式。 

下面是另一个例子。

如上所示,社会工程攻击也可以使用电子邮件作为有力的媒介。这方面的一个常见的例子是网络钓鱼攻击。我们将在下一节中更详细地介绍这些攻击。

社会工程攻击的类型

1.网络钓鱼和Smishing

假设今天你收到一条来自你的银行(据说)的短信,要求你通过点击一个链接验证你的身份,否则你的账户将被停用。这是一个非常常见的信息,经常被网络犯罪分子用来欺骗毫无戒心的人。一旦你点击了这个链接,你就会被转到一个要求你提供银行信息的欺骗性页面。请放心,如果你最终向攻击者提供了你的银行信息,他们将耗尽你的账户。 

同样地,网络钓鱼或语音钓鱼是通过电话而不是短信发起的。

2.在线诱饵/诱骗 

我们每天在浏览网站时都会遇到一系列的在线广告。虽然其中大多数是无害的和真实的,但可能有一些坏苹果隐藏在其中。这可以通过发现那些看起来好得不像真的广告而轻易识别。它们通常有荒谬的说法和诱饵,如中大奖或提供巨大的折扣。

请记住,这可能是一个陷阱(akaa 诱饵).如果某些东西看起来好得不像真的,它很可能就是真的。因此,最好避开互联网上的可疑广告,并抵制点击它们。

3.钓鱼网站

社会工程攻击往往是通过电子邮件进行的,被称为网络钓鱼。几乎在电子邮件本身存在的同时,网络钓鱼攻击就已经在全球范围内造成了严重破坏。自2020年以来,由于电子邮件通信的激增,网络钓鱼的速度也直线上升,欺骗了大大小小的组织,每天都成为头条新闻。 

网络钓鱼攻击可分为 "鱼叉式网络钓鱼"、"捕鲸 "和 "首席执行官欺诈",分别指的是冒充组织内特定员工、公司决策者和首席执行官的行为。

4.浪漫主义骗局

联邦调查局(FBI)将网络恋情骗局定义为 "当犯罪分子采用虚假的网络身份来获得受害者的喜爱和信任时发生的骗局。然后骗子利用浪漫或亲密关系的假象来操纵和/或窃取受害者的钱财"。 

浪漫骗局属于社会工程攻击的类型,因为攻击者在实施其主要议程之前,使用操纵性战术与受害者形成密切的浪漫关系:即诈骗他们。2021年,浪漫骗局作为本年度最具经济破坏性的网络攻击占据了第一的位置,紧随其后的是勒索软件。

5.欺骗行为

域名欺骗是一种高度进化的社会工程攻击形式。这是指攻击者伪造一个合法的公司域名,代表发送机构向客户发送电子邮件。攻击者操纵受害者,使其相信上述电子邮件来自一个真实的来源,即他们所依赖的服务的公司。 

欺骗性攻击很难追踪,因为电子邮件是从公司自己的域名发送的。然而,有一些方法可以解决它的问题。业内专家使用和推荐的流行方法之一是借助于 DMARC设置。

6.巧立名目

伪装可以被称为社会工程攻击的前身。它是指攻击者编织一个假想的故事来支持他对公司敏感信息的要求。 在大多数情况下,伪装是通过电话进行的,攻击者冒充客户或雇员,要求公司提供敏感信息。

社会工程中常用的方法是什么?

社会工程中最常用的方法是网络钓鱼。让我们看一下一些统计数据,以更好地了解网络钓鱼是如何成为一个不断上升的全球威胁。

  • CISCO的2021年网络安全威胁趋势报告强调,高达90%的数据泄露是由网络钓鱼造成的。
  • IBM在其2021年的《数据泄露成本报告》中,将经济成本最高的攻击媒介的称号授予了网络钓鱼。
  • 根据联邦调查局的报告,随着时间的推移,网络钓鱼攻击的速度被发现增加了400%。

如何保护自己免受社会工程攻击?

你可以配置的协议和工具。 

  • 在你的组织部署电子邮件认证协议,如SPF、DKIM和DMARC。从今天开始,用我们的 DMARC记录生成器.
  • 强制执行你的 的DMARC政策p=拒绝,以尽量减少直接域名欺骗和电子邮件网络钓鱼攻击
  • 确保你的计算机系统在防病毒软件的帮助下得到保护

你可以采取的个人措施。

  • 提高你的组织对常见的社会工程攻击类型、攻击媒介和警告信号的认识
  • 对自己进行有关攻击载体和类型的教育。访问我们的知识库,在搜索栏中输入 "网络钓鱼",点击回车,今天就开始学习!  
  • 切勿在外部网站上提交机密信息
  • 在你的移动设备上启用来电显示识别应用程序
  • 永远记住,你的银行永远不会要求你通过电子邮件、短信或电话提交你的账户信息和密码
  • 始终重新检查您的电子邮件的发件人地址和回邮地址,以确保它们是匹配的。 
  • 在100%确定其来源的真实性之前,不要点击可疑的电子邮件附件或链接。
  • 在信任与你在网上互动但在现实生活中并不认识的人之前,请三思而行。
  • 不要浏览没有通过HTTPS连接安全的网站(例如:http://domain.com)。