岗位

你如何保护自己免受社会工程的影响?

第一道防线是保持警惕。在社会工程攻击中,攻击者可能会引诱你进入一个更像是审讯的对话。然而,保护自己不受社会工程影响的最好方法是知道你可以信任谁,并且自己要值得信任。你需要识别任何可能进入你账户或可能影响你账户的人,并确保他们有充分的理由这样做。 

继续阅读将帮助你了解什么是社会工程中常用的方法以及你如何保护自己免受网络攻击 在未来!

什么是社会工程攻击?

在社会工程攻击中,攻击者试图通过与他们可以利用的信任的人建立关系来获取数据或服务。

社会工程攻击是黑客攻击的一种形式,攻击者试图通过利用信任来获得访问权或信息。这是一种非常有效的攻击,因为它利用了你帮助别人的愿望、好奇心和天真。社会工程师可以通过使用高层次的操纵来获得攻击者想要的东西,使你成为不知情的帮凶。 

使用欺骗和诡计来获得优势的做法远远早于个人电脑和世界网络的广泛存在。但我们可以进一步回顾历史,看看一些最令人震惊的社会工程攻击案例。

在最近一次发生在2020年2月的事件中,一个 钓鱼网站 的芭芭拉-科兰(Barbara Corcoran)成功骗取了美国广播公司(ABC)的"鲨鱼坦克骗取了近40万美元。

如果你是社会工程攻击的受害者,了解如何保护自己不受伤害是至关重要的。了解潜在威胁的警告信号以及如何保护自己。

相关阅读。 什么是社会工程?

什么是社会工程中常用的方法?

社会工程师在社会工程攻击中使用的一个常见方法是冒充IT支持。这可以通过给公司打电话,要求与IT部门交谈,或给公司发送电子邮件,说他们是来自IT部门的电话。

一旦打电话或发邮件的人获得了访问权,他们可能会假装是来自不同的部门,或要求提供公司通常不会发布的信息。社会工程师通常还会在联系之前尽可能多地收集目标人物的信息。

保护自己免受社会工程攻击的5种方法

在这里,我们收集了一些有用的提示或想法,有助于保护自己免受社会攻击或防止社会工程攻击。

未知发件人(电子邮件与文本信息对比)

密切注意发件人的电子邮件地址和邮件内容。知道你不需要点击任何可疑的文件链接是至关重要的。 

停止分享个人信息

在分享个人信息,如密码和信用卡号码之前,请先思考。任何合法的公司或个人都不应该要求提供这种类型的敏感信息。始终使用强大的密码并定期更换。避免在多个账户中使用相同的密码,使自己免于成为社会工程攻击的受害者。

安全的层级

尽可能地使用双因素认证。它可以进一步增加一个额外的安全层,要求用户输入发送到他们手机上的代码以及他们的用户名和密码。始终用你的电子邮件和电话号码设置认证码,这样,如果有人获得这两个系统的访问权,他们就无法直接使用你的账户。

反病毒软件

安装反恶意软件在你所有的设备上安装反恶意软件和反病毒软件。保持这些程序的更新,以便它们能够保护你免受最新的威胁。然而,当你的设备上安装了杀毒软件后,它可以提供一个很好的屏蔽,防止社会工程攻击。

始终注意任何风险

你应该始终考虑风险。通过双重和三重检查,确保任何信息要求的准确性。当你受到最近的漏洞影响时,请留意网络安全新闻。 

社会工程的例子有哪些?

通过社会工程攻击使人受害是实施欺诈的一个好方法。它可以通过几种方式进行。 以下是一些社会工程的例子。

获得访问权

黑客可以通过以另一个人的名义申请信贷来获得你的银行账户。这种欺诈行为往往涉及到给朋友和家人打电话或发电子邮件,然后要求他们进行电汇付款,以迅速偿还黑客对受害者生活的损失。 

窃取个人信息

人们被骗交出个人信息的另一种常见方式是相信自己赢得了从未参加过但确实报名参加的奖品或竞赛。而当他们接到这样的电话,确保他们一旦提供了自己的详细资料就会得到奖品时,这时受害者就会遇到攻击者的陷阱。 

钓鱼网站

在这种攻击中,攻击者发送的电子邮件看起来像是来自合法公司或组织,但却含有恶意链接或附件。此外,这也是全球最常见的社会工程攻击之一。 

伪装

另一个大规模的社会工程攻击涉及创建一个虚假的身份或场景来获取个人信息。最突出的社会工程例子之一是 攻击者通过发短信获得操纵人的权限。

肩部冲浪

这是一种攻击,攻击者从某人的肩膀上看过去,以获取机密信息。有时,攻击者只不过是你的亲密朋友或亲人,一旦他们得到他们一直想得到的信息,就会对你进行敲诈。因此,必须密切关注这些人,千万不要提供每一个个人细节。 

尾牙

尾随是指攻击者在没有实际授权的情况下,跟随被授权的人进入一个建筑物或安全区域。它不像其他社会工程攻击那样常见。但是,它仍然是危险的,并可能留下破坏性的评论。

总结

为了保护自己免受社会工程攻击。你必须学会使用预防措施来对付它们。由于我们已经向你提供了一些社会工程攻击的标准方法,这些方法在世界范围内已经使用了好几个世纪,请确保现在开始实施预防措施。社会工程攻击可以在几秒钟内损害一个人的另外,职业生活。始终用两个设置的验证码来保护你的设备、密码和其他登录方式,以获得外层的保护。

在你做任何其他事情之前,请与一个值得信赖的IT专家或安全专家讨论,如 谈谈。.他们可以帮助你了解社会工程攻击的风险以及如何将其降到最低。

/作者

2022年的社会工程攻击类型

在深入探讨受害者每天都会遭受的社会工程攻击类型,以及即将在互联网上掀起风暴的攻击之前,让我们首先简单了解一下社会工程是怎么回事。 

用通俗的话来解释,社会工程是指一种网络攻击部署策略,威胁者利用心理操纵来利用受害者并对其进行欺诈。

社会工程。定义和例子

什么是社会工程攻击?

相对于网络犯罪分子入侵你的电脑或电子邮件系统,社会工程攻击是通过试图影响受害者的意见来操纵他们暴露敏感信息而策划的。安全分析师已经证实,每年发生在互联网上的网络攻击有70%以上是社会工程攻击。

社会工程实例

请看下面的例子。

 

在这里,我们可以看到一个在线广告,以每小时赚取1000美元的承诺来引诱受害者。这个广告包含一个恶意链接,可以在他们的系统上启动一个恶意软件的安装。 

这种类型的攻击通常被称为 "在线诱饵 "或简单的 "诱饵",是一种社会工程攻击的形式。 

下面是另一个例子。

如上所示,社会工程攻击也可以使用电子邮件作为有力的媒介。这方面的一个常见的例子是网络钓鱼攻击。我们将在下一节中更详细地介绍这些攻击。

社会工程攻击的类型

1.网络钓鱼和Smishing

假设今天你收到一条来自你的银行(据说)的短信,要求你通过点击一个链接验证你的身份,否则你的账户将被停用。这是一个非常常见的信息,经常被网络犯罪分子用来欺骗毫无戒心的人。一旦你点击了这个链接,你就会被转到一个要求你提供银行信息的欺骗性页面。请放心,如果你最终向攻击者提供了你的银行信息,他们将耗尽你的账户。 

同样地,网络钓鱼或语音钓鱼是通过电话而不是短信发起的。

2.在线诱饵/诱骗 

我们每天在浏览网站时都会遇到一系列的在线广告。虽然其中大多数是无害的和真实的,但可能有一些坏苹果隐藏在其中。这可以通过发现那些看起来好得不像真的广告而轻易识别。它们通常有荒谬的说法和诱饵,如中大奖或提供巨大的折扣。

请记住,这可能是一个陷阱(akaa 诱饵).如果某些东西看起来好得不像真的,它很可能就是真的。因此,最好避开互联网上的可疑广告,并抵制点击它们。

3.钓鱼网站

社会工程攻击往往是通过电子邮件进行的,被称为网络钓鱼。几乎在电子邮件本身存在的同时,网络钓鱼攻击就已经在全球范围内造成了严重破坏。自2020年以来,由于电子邮件通信的激增,网络钓鱼的速度也直线上升,欺骗了大大小小的组织,每天都成为头条新闻。 

网络钓鱼攻击可分为 "鱼叉式网络钓鱼"、"捕鲸 "和 "首席执行官欺诈",分别指的是冒充组织内特定员工、公司决策者和首席执行官的行为。

4.浪漫主义骗局

联邦调查局(FBI)将网络恋情骗局定义为 "当犯罪分子采用虚假的网络身份来获得受害者的喜爱和信任时发生的骗局。然后骗子利用浪漫或亲密关系的假象来操纵和/或窃取受害者的钱财"。 

浪漫骗局属于社会工程攻击的类型,因为攻击者在实施其主要议程之前,使用操纵性战术与受害者形成密切的浪漫关系:即诈骗他们。2021年,浪漫骗局作为本年度最具经济破坏性的网络攻击占据了第一的位置,紧随其后的是勒索软件。

5.欺骗行为

域名欺骗是一种高度进化的社会工程攻击形式。这是指攻击者伪造一个合法的公司域名,代表发送机构向客户发送电子邮件。攻击者操纵受害者,使其相信上述电子邮件来自一个真实的来源,即他们所依赖的服务的公司。 

欺骗性攻击很难追踪,因为电子邮件是从公司自己的域名发送的。然而,有一些方法可以解决它的问题。业内专家使用和推荐的流行方法之一是借助于 DMARC设置。

6.巧立名目

伪装可以被称为社会工程攻击的前身。它是指攻击者编织一个假想的故事来支持他对公司敏感信息的要求。 在大多数情况下,伪装是通过电话进行的,攻击者冒充客户或雇员,要求公司提供敏感信息。

社会工程中常用的方法是什么?

社会工程中最常用的方法是网络钓鱼。让我们看一下一些统计数据,以更好地了解网络钓鱼是如何成为一个不断上升的全球威胁。

  • CISCO的2021年网络安全威胁趋势报告强调,高达90%的数据泄露是由网络钓鱼造成的。
  • IBM在其2021年的《数据泄露成本报告》中,将经济成本最高的攻击媒介的称号授予了网络钓鱼。
  • 根据联邦调查局的报告,随着时间的推移,网络钓鱼攻击的速度被发现增加了400%。

如何保护自己免受社会工程攻击?

你可以配置的协议和工具。 

  • 在你的组织部署电子邮件认证协议,如SPF、DKIM和DMARC。从今天开始,用我们的 DMARC记录生成器.
  • 强制执行你的 的DMARC政策p=拒绝,以尽量减少直接域名欺骗和电子邮件网络钓鱼攻击
  • 确保你的计算机系统在防病毒软件的帮助下得到保护

你可以采取的个人措施。

  • 提高你的组织对常见的社会工程攻击类型、攻击媒介和警告信号的认识
  • 对自己进行有关攻击载体和类型的教育。访问我们的知识库,在搜索栏中输入 "网络钓鱼",点击回车,今天就开始学习!  
  • 切勿在外部网站上提交机密信息
  • 在你的移动设备上启用来电显示识别应用程序
  • 永远记住,你的银行永远不会要求你通过电子邮件、短信或电话提交你的账户信息和密码
  • 始终重新检查您的电子邮件的发件人地址和回邮地址,以确保它们是匹配的。 
  • 在100%确定其来源的真实性之前,不要点击可疑的电子邮件附件或链接。
  • 在信任与你在网上互动但在现实生活中并不认识的人之前,请三思而行。
  • 不要浏览没有通过HTTPS连接安全的网站(例如:http://domain.com)。

/作者