什么是社会工程攻击?

已发表: 2022-08-11

社会工程攻击是指依赖人为错误而不是系统漏洞的广泛策略。 黑客利用社会工程来诱骗用户赚钱、收集敏感信息或在他们的计算机系统上安装恶意软件。

在本文中,我们将探讨关键类型的社会工程攻击以及如何防止它们。 让我们深入了解:

社会工程攻击 - 概述

人是网络安全中最薄弱的环节。 发现系统中的漏洞并加以利用通常需要时间、人才和高科技资源。 但人类黑客攻击比这容易得多。

毫不奇怪,95% 的网络安全问题都源于人为错误。 黑客或威胁行为者利用人类行为和自然倾向诱骗他们收集敏感信息、获取资金或安装恶意软件。

大多数社会工程攻击有四个可预测的阶段:

  • 黑客收集有关其目标的必要信息。 黑客掌握的信息越多,他们就越有能力欺骗用户
  • 在第二阶段,黑客试图通过各种策略与目标建立融洽关系
  • 在第三阶段,黑客或威胁行为者将利用信息和融洽关系渗透到目标
  • 第四阶段是关闭阶段——一旦黑客获得资金或敏感数据,如登录凭据或银行账户信息,他们会以一种避免怀疑的方式结束交互

社会工程攻击使公司损失惨重。 社会工程师 Evaldas Rimasauskas 通过社会工程从 Facebook 和 Google 窃取了超过 1 亿美元。 在另一次社会工程攻击中,这家英国能源公司因欺诈者损失了 243,000 美元。

随着小型企业的安全意识增强,黑客可能会更多地利用社会工程计划来利用人类行为。

事实上,根据 ISACA 的网络安全状况报告,社会工程是网络攻击的主要方法。

需要注意的社会工程技术

以下是威胁行为者用来诱骗用户获取金钱或泄露敏感信息的常用社交工程策略:

诱饵攻击

诱饵攻击利用了人类的贪婪、好奇和恐惧。 在这样的攻击中,黑客为目标制造了诱人的诱饵。 当受害者上钩时,他们的计算机系统就会被感染。

威胁行为者通过物理媒体和数字形式进行诱饵攻击。

在物理击球攻击中,黑客会将物理媒体(如受感染的笔式驱动器或 CD)留在公司场所,以供其员工发现。 媒体会有员工奖金计划之类的名称。 一旦任何员工在他们的系统上播放这种受感染的媒体,它就会感染系统。 并且通过内部网络,它也可以感染其他系统。

网络犯罪分子可以创建一个带有恶意链接的虚假网站,以免费下载热门电视剧或电影。 当有人点击这样的链接时,它可以在他们的系统上安装恶意软件。

Quid pro Quo

黑客在交换条件攻击中滥用信任并操纵人类行为。 黑客将与随机的人联系,并传达他们正在为技术问题提供解决方案。 如果遇到相同技术问题的人做出回应,黑客会告诉几个步骤来解决问题。 在这些步骤中,黑客可以感染系统。

网络钓鱼攻击

网络钓鱼攻击是假冒的电子邮件、短信或任何其他类型的通信,似乎来自合法公司。 消息中的交易或报价通常好得令人难以置信,无法吸引用户。

黑客创建了一个类似于合法网站的虚假登录页面。 然后,他们向用户发送一条提供优惠的信息。

当用户或目标员工采取建议的操作或下载附件时,黑客会收集敏感数据,或在受害者的计算机上安装恶意代码,从而影响系统。

根据 CISCO 的一份报告,86% 的公司报告说有员工试图连接到网络钓鱼网站。 该报告还指出,网络钓鱼攻击占数据泄露事件的 90%。

教育您的员工如何发现网络钓鱼网站并安装反网络钓鱼工具来过滤网络钓鱼电子邮件可以有效地防止网络钓鱼攻击。

鱼叉式网络钓鱼攻击

鱼叉式网络钓鱼是针对特定个人、特定用户或公司的网络钓鱼攻击。 鱼叉式网络钓鱼攻击通常包含能够引起目标兴趣的信息。

恐吓软件威胁

恐吓软件利用了人类的恐惧。 在恐吓软件攻击中,用户经常会看到一个弹出窗口,要求他们采取特定步骤以确保安全。 遵循这些步骤会导致购买虚假软件、安装恶意软件或访问会在其设备上自动安装恶意软件的恶意网站。

保持浏览器更新并使用知名的防病毒程序可以帮助对抗恐吓软件威胁。

伪装诈骗

在借口诈骗中,威胁行为者创建借口或场景来诱骗人们获取个人身份信息、信用卡信息或任何其他可用于欺诈行为(如数据泄露或身份盗窃)的信息。 犯罪分子经常冒充当局、保险调查员、银行或机构进行借口诈骗。

防止借口诈骗的一种有效方法是通过其他方式与来源联系,以验证对机密信息的请求。

尾随

在尾随攻击中,未经授权且无法合法访问的人员跟随授权人员进入受限区域,例如员工工作站、服务器机房等。

例如,威胁者双手拿着一个大盒子到达您公司的入口处。 一名员工使用他们的门禁卡打开门,却没有意识到他们的好心导致了未经授权的进入。

执行严格的数字和物理身份验证策略可以帮助您对抗尾门。

社会工程师获得访问权限的最常见方式是什么?

网络钓鱼是社会工程师用来诱骗用户点击恶意链接或访问恶意网站以传播恶意软件的最常见方式。

社会工程师经常通过电子邮件、社交媒体网站、电话或短信进行网络钓鱼尝试,以利用人为错误。

你如何保护自己免受社会工程学的伤害?

以下是一些经过验证的防止社会工程攻击的策略:

1. 培训你的员工

社会工程攻击利用人类行为和自然倾向。 因此,培训您的团队成员对于建立积极的安全文化大有帮助。

确保培训您的员工:

  • 避免打开来自未知来源的电子邮件和附件
  • 避免通过电话分享个人或财务信息
  • 小心诱人的优惠
  • 了解恶意软件,例如流氓扫描软件
  • 避免在社交网站上分享个人身份信息

您还可以聘请外部安全顾问来举办网络安全研讨会

2. 实施多重身份验证

您企业中的网络安全很大程度上取决于您的员工和供应商使用的身份验证方法。

为了加强安全性,您应该强制执行多因素身份验证。 这是一种允许合法用户访问并远离网络犯罪分子的有效方法。

3. 安装杀毒软件

领先的防病毒和反恶意软件可以帮助防止恶意软件通过电子邮件传播。 此外,一个好的工具可以在您的员工偶然发现恶意网站时警告他们。

4. 评估你的准备情况

您应该定期测试您对社会工程攻击的防御能力。 不时地练习和运行演习可以帮助您的团队成员更好地为任何社会工程攻击做好准备。

图片:Envato 元素