岗位

在深入探讨受害者每天都会遭受的社会工程攻击类型,以及即将在互联网上掀起风暴的攻击之前,让我们首先简单了解一下社会工程是怎么回事。 

用通俗的话来解释,社会工程是指一种网络攻击部署策略,威胁者利用心理操纵来利用受害者并对其进行欺诈。

社会工程。定义和例子

什么是社会工程攻击?

相对于网络犯罪分子入侵你的电脑或电子邮件系统,社会工程攻击是通过试图影响受害者的意见来操纵他们暴露敏感信息而策划的。安全分析师已经证实,每年发生在互联网上的网络攻击有70%以上是社会工程攻击。

社会工程实例

请看下面的例子。

 

在这里,我们可以看到一个在线广告,以每小时赚取1000美元的承诺来引诱受害者。这个广告包含一个恶意链接,可以在他们的系统上启动一个恶意软件的安装。 

这种类型的攻击通常被称为 "在线诱饵 "或简单的 "诱饵",是一种社会工程攻击的形式。 

下面是另一个例子。

如上所示,社会工程攻击也可以使用电子邮件作为有力的媒介。这方面的一个常见的例子是网络钓鱼攻击。我们将在下一节中更详细地介绍这些攻击。

社会工程攻击的类型

1.网络钓鱼和Smishing

假设今天你收到一条来自你的银行(据说)的短信,要求你通过点击一个链接验证你的身份,否则你的账户将被停用。这是一个非常常见的信息,经常被网络犯罪分子用来欺骗毫无戒心的人。一旦你点击了这个链接,你就会被转到一个要求你提供银行信息的欺骗性页面。请放心,如果你最终向攻击者提供了你的银行信息,他们将耗尽你的账户。 

同样地,网络钓鱼或语音钓鱼是通过电话而不是短信发起的。

2.在线诱饵/诱骗 

我们每天在浏览网站时都会遇到一系列的在线广告。虽然其中大多数是无害的和真实的,但可能有一些坏苹果隐藏在其中。这可以通过发现那些看起来好得不像真的广告而轻易识别。它们通常有荒谬的说法和诱饵,如中大奖或提供巨大的折扣。

请记住,这可能是一个陷阱(akaa 诱饵).如果某些东西看起来好得不像真的,它很可能就是真的。因此,最好避开互联网上的可疑广告,并抵制点击它们。

3.钓鱼网站

社会工程攻击往往是通过电子邮件进行的,被称为网络钓鱼。几乎在电子邮件本身存在的同时,网络钓鱼攻击就已经在全球范围内造成了严重破坏。自2020年以来,由于电子邮件通信的激增,网络钓鱼的速度也直线上升,欺骗了大大小小的组织,每天都成为头条新闻。 

网络钓鱼攻击可分为 "鱼叉式网络钓鱼"、"捕鲸 "和 "首席执行官欺诈",分别指的是冒充组织内特定员工、公司决策者和首席执行官的行为。

4.浪漫主义骗局

联邦调查局(FBI)将网络恋情骗局定义为 "当犯罪分子采用虚假的网络身份来获得受害者的喜爱和信任时发生的骗局。然后骗子利用浪漫或亲密关系的假象来操纵和/或窃取受害者的钱财"。 

浪漫骗局属于社会工程攻击的类型,因为攻击者在实施其主要议程之前,使用操纵性战术与受害者形成密切的浪漫关系:即诈骗他们。2021年,浪漫骗局作为本年度最具经济破坏性的网络攻击占据了第一的位置,紧随其后的是勒索软件。

5.欺骗行为

域名欺骗是一种高度进化的社会工程攻击形式。这是指攻击者伪造一个合法的公司域名,代表发送机构向客户发送电子邮件。攻击者操纵受害者,使其相信上述电子邮件来自一个真实的来源,即他们所依赖的服务的公司。 

欺骗性攻击很难追踪,因为电子邮件是从公司自己的域名发送的。然而,有一些方法可以解决它的问题。业内专家使用和推荐的流行方法之一是借助于 DMARC设置。

6.巧立名目

伪装可以被称为社会工程攻击的前身。它是指攻击者编织一个假想的故事来支持他对公司敏感信息的要求。 在大多数情况下,伪装是通过电话进行的,攻击者冒充客户或雇员,要求公司提供敏感信息。

社会工程中常用的方法是什么?

社会工程中最常用的方法是网络钓鱼。让我们看一下一些统计数据,以更好地了解网络钓鱼是如何成为一个不断上升的全球威胁。

  • CISCO的2021年网络安全威胁趋势报告强调,高达90%的数据泄露是由网络钓鱼造成的。
  • IBM在其2021年的《数据泄露成本报告》中,将经济成本最高的攻击媒介的称号授予了网络钓鱼。
  • 根据联邦调查局的报告,随着时间的推移,网络钓鱼攻击的速度被发现增加了400%。

如何保护自己免受社会工程攻击?

你可以配置的协议和工具。 

  • 在你的组织部署电子邮件认证协议,如SPF、DKIM和DMARC。从今天开始,用我们的 DMARC记录生成器.
  • 强制执行你的 的DMARC政策p=拒绝,以尽量减少直接域名欺骗和电子邮件网络钓鱼攻击
  • 确保你的计算机系统在防病毒软件的帮助下得到保护

你可以采取的个人措施。

  • 提高你的组织对常见的社会工程攻击类型、攻击媒介和警告信号的认识
  • 对自己进行有关攻击载体和类型的教育。访问我们的知识库,在搜索栏中输入 "网络钓鱼",点击回车,今天就开始学习!  
  • 切勿在外部网站上提交机密信息
  • 在你的移动设备上启用来电显示识别应用程序
  • 永远记住,你的银行永远不会要求你通过电子邮件、短信或电话提交你的账户信息和密码
  • 始终重新检查您的电子邮件的发件人地址和回邮地址,以确保它们是匹配的。 
  • 在100%确定其来源的真实性之前,不要点击可疑的电子邮件附件或链接。
  • 在信任与你在网上互动但在现实生活中并不认识的人之前,请三思而行。
  • 不要浏览没有通过HTTPS连接安全的网站(例如:http://domain.com)。