2022年的社会工程攻击类型

Yunes Tarada

2年前

阅读时间 5 分钟

在深入探讨受害者每天都会遭受的社会工程攻击类型，以及即将在互联网上掀起风暴的攻击之前，让我们首先简单了解一下社会工程是怎么回事。

用通俗的话来解释，社会工程是指一种网络攻击部署策略，威胁者利用心理操纵来利用受害者并对其进行欺诈。

社会工程。定义和例子

相对于网络犯罪分子入侵你的电脑或电子邮件系统，社会工程攻击是通过试图影响受害者的意见来操纵他们暴露敏感信息而策划的。安全分析师已经证实，每年发生在互联网上的网络攻击有70%以上是社会工程攻击。

请看下面的例子。

在这里，我们可以看到一个在线广告，以每小时赚取1000美元的承诺来引诱受害者。这个广告包含一个恶意链接，可以在他们的系统上启动一个恶意软件的安装。

这种类型的攻击通常被称为 "在线诱饵 "或简单的 "诱饵"，是一种社会工程攻击的形式。

下面是另一个例子。

如上所示，社会工程攻击也可以使用电子邮件作为有力的媒介。这方面的一个常见的例子是网络钓鱼攻击。我们将在下一节中更详细地介绍这些攻击。

假设今天你收到一条银行短信（据说），要求你点击链接验证身份，否则你的账户将被停用。这是一种非常常见的短信，网络犯罪分子经常利用它来欺骗毫无戒心的人。一旦你点击了链接，你就会被重定向到一个要求你提供银行信息的欺骗页面。请放心，如果您最终向攻击者提供了银行详细信息，他们就会盗用您的账户。

同样地，网络钓鱼或语音钓鱼是通过电话而不是短信发起的。

我们每天在浏览网站时都会遇到一系列的在线广告。虽然其中大多数是无害的和真实的，但可能有一些坏苹果隐藏在其中。这可以通过发现那些看起来好得不像真的广告而轻易识别。它们通常有荒谬的说法和诱饵，如中大奖或提供巨大的折扣。

请记住，这可能是一个陷阱(akaa 诱饵).如果某些东西看起来好得不像真的，它很可能就是真的。因此，最好避开互联网上的可疑广告，并抵制点击它们。

社会工程攻击往往是通过电子邮件进行的，被称为网络钓鱼。几乎在电子邮件本身存在的同时，网络钓鱼攻击就已经在全球范围内造成了严重破坏。自2020年以来，由于电子邮件通信的激增，网络钓鱼的速度也直线上升，欺骗了大大小小的组织，每天都成为头条新闻。

网络钓鱼攻击可分为 "鱼叉式网络钓鱼"、"捕鲸 "和 "首席执行官欺诈"，分别指的是冒充组织内特定员工、公司决策者和首席执行官的行为。

联邦调查局（FBI）将网络恋情骗局定义为 "当犯罪分子采用虚假的网络身份来获得受害者的喜爱和信任时发生的骗局。然后骗子利用浪漫或亲密关系的假象来操纵和/或窃取受害者的钱财"。

浪漫骗局属于社会工程攻击的类型，因为攻击者在实施其主要议程之前，使用操纵性战术与受害者形成密切的浪漫关系：即诈骗他们。2021年，浪漫骗局作为本年度最具经济破坏性的网络攻击占据了第一的位置，紧随其后的是勒索软件。

域名欺骗是一种高度进化的社会工程攻击形式。这是指攻击者伪造一个合法的公司域名，代表发送机构向客户发送电子邮件。攻击者操纵受害者，使其相信上述电子邮件来自一个真实的来源，即他们所依赖的服务的公司。

欺骗性攻击很难追踪，因为电子邮件是从公司自己的域名发送的。然而，有一些方法可以解决它的问题。业内专家使用和推荐的流行方法之一是借助于 DMARC设置。

伪装可以被称为社会工程攻击的前身。它是指攻击者编织一个假想的故事来支持他对公司敏感信息的要求。在大多数情况下，伪装是通过电话进行的，攻击者冒充客户或雇员，要求公司提供敏感信息。

社会工程中最常用的方法是网络钓鱼。让我们看一下一些统计数据，以更好地了解网络钓鱼是如何成为一个不断上升的全球威胁。

你可以配置的协议和工具。

你可以采取的个人措施。

Yunes 是 PowerDMARC 的运营团队负责人，拥有电子邮件验证和安全方面的专业知识。Yunes 是微软认证的 Azure 管理员助理，并获得了 CompTIA A+ 等认证。

Yunes Tarada 的最新帖子(查看全部)