【龍田百科】防不勝防的詐騙、攻擊手段——社會(huì)工程學(xué)
發(fā)布時間:2024-01-23
随著(zhe)網絡與信息技術的不斷發(fā)展,網絡安全建設也面(miàn)臨新的變化與挑戰,網絡攻擊手段層出不窮。本次,龍田百科將(jiāng)分爲上、下兩(liǎng)期,來介紹當前社會(huì)常見的網絡攻擊手段,以及防禦建議。上期主要從社會(huì)工程學(xué)、勒索軟件、高級持續性威脅展開(kāi)讨論。
01
社會(huì)工程——高危險的存在

 

廣義上的社會(huì)工程(Social Engineering)是一門學(xué)科,而我們平常提到“社會(huì)工程”時多指網絡安全方面(miàn)的技術。社會(huì)工程通過(guò)欺騙或誘導受害者犯錯,獲取重要的私人信息、系統訪問權、重要數據和虛拟财産等。攻擊者可以利用獲取到的社會(huì)工程信息進(jìn)行二次攻擊,或者直接出售給他人以獲利。
 
社會(huì)工程主要針對(duì)人們的心理和行爲進(jìn)行欺騙,成(chéng)功率極高。盡管受害者會(huì)懷疑郵件或者電話的真實性,但是由于攻擊者精心設計了攻擊流程,所以人們往往會(huì)作出錯誤的判斷和處置。
很多安全事(shì)件都(dōu)不是因爲網絡防護被(bèi)攻破,而遭受損失。攻擊者通常會(huì)優先選擇對(duì)人實施社會(huì)工程攻擊,這(zhè)樣(yàng)選擇比攻擊專業的網絡安全系統更容易。所以,我們必須專注于以人爲中心的網絡安全意識培訓,讓他們保持對(duì)社會(huì)工程手段的充分了解,避免堡壘從内部被(bèi)攻破。
02
社會(huì)工程常見的類型

 

  • 網絡釣魚(Phishing)最常見的社會(huì)工程攻擊類型。攻擊者通過(guò)電子郵件、語音通話、即時聊天、網絡廣告或虛假網站等形式,竊取機密的個人信息或公司信息。首先,網絡釣魚之所以能(néng)夠成(chéng)功,通常是因爲攻擊者準備的虛假信息和欺騙手段高度仿真,這(zhè)使得受害者很容易忽視相關操作的危險性,大大提高了社會(huì)工程的成(chéng)功率。其次,網絡釣魚一般會(huì)讓受害者感受到緊迫、恐懼或好(hǎo)奇,這(zhè)使得受害者短時間内隻專注于攻擊者編造的信息,無暇仔細分辨信息的真假。
     
  • 魚叉式網絡釣魚(SpearPhishing)實際上是一種(zhǒng)更有針對(duì)性的網絡釣魚。相對(duì)而言,普通的網絡釣魚随機性更大,攻擊者并不聚焦于具體的受害者,而是廣泛散播有害信息。而魚叉式網絡釣魚會(huì)選擇具體的受害者,例如企業高管或網絡管理員,通過(guò)對(duì)受害者的特征、工作職位和聯系人等信息進(jìn)行詳細了解,制定一份可信度非常高的釣魚方案,提高社會(huì)工程的成(chéng)功率。
     
  • 誘餌(Baiting)顧名思義,這(zhè)種(zhǒng)社會(huì)工程方式是利用人們對(duì)某種(zhǒng)獎勵的渴望,引誘人們落入陷阱。誘餌與網絡釣魚在很多方面(miàn)有相似性,但是區别在于誘餌更強調對(duì)受害者的“獎勵”,所以受害者往往會(huì)因爲利益的原因而落入攻擊者的陷阱。誘餌既可以是物理的,也可以是虛拟的。
     
  • 水坑(WateringHole)水坑的名稱來源于自然界的捕食方式,攻擊者會(huì)通過(guò)前期的調查,确定受害者經(jīng)常訪問的一些網站,并在網站上部署惡意程序,當受害者訪問網站時即會(huì)被(bèi)感染。
     
  • 語音網絡釣魚(Vishing)和短信網絡釣魚(Smishing)可以算是網絡釣魚的兩(liǎng)種(zhǒng)方式,前者通過(guò)電話實施社會(huì)工程,後(hòu)者通過(guò)短信。這(zhè)兩(liǎng)種(zhǒng)方式顯然針對(duì)的是更老派的受害者,他們不怎麼(me)使用網絡,也看不懂那些“精美的”騙術,這(zhè)讓攻擊者有種(zhǒng)無力感。針對(duì)這(zhè)類人群,攻擊者采用了更傳統的騙術,即通過(guò)電話或短信來使受害者落入陷阱。攻擊者大都(dōu)使用機器人來實施欺騙過(guò)程,當前高水平的機器人幾乎可以代替真人來完成(chéng)交流,這(zhè)大大提高了攻擊者的效率。
     
  • 僞裝(Pretexting)主要是利用虛假的身份來欺騙受害者。攻擊者通常會(huì)假裝成(chéng)處于強大地位的人,迫使受害者按照他的指示來提供重要信息。
     
  • 交換條件(QuidPro Quo)指攻擊者依靠信息或服務的交易,促使受害者配合自己的要求,進(jìn)而獲得重要的個人信息。與誘餌類似,交換條件也聲稱會(huì)爲受害者帶來好(hǎo)處,這(zhè)種(zhǒng)好(hǎo)處通常采取服務的形式,而誘餌通常采取實物的形式
     
  • 惡意軟件(Malware)讓受害者相信其計算機中已被(bèi)安裝惡意軟件,隻有按照攻擊者的要求去做,才能(néng)删除這(zhè)些惡意軟件。
     
  • 尾随(Tailgating)和背靠背(Piggybackingattacks)指沒(méi)有授權的人借助其他人的授權,進(jìn)入受限的區域或系統。
03
如何防範社會(huì)工程

 

  1. 加強安全意識了解社會(huì)工程學(xué)的技巧和策略,提高個人警惕性,不輕易透露個人信息,尤其是敏感信息。同時,對(duì)陌生人的請求或信息要保持警惕,不輕信。
  2. 保護好(hǎo)個人信息不要在社交媒體上随意發(fā)布個人信息,謹慎處理垃圾郵件、詐騙短信等,不點擊來源不明的鏈接或下載不明附件。同時,保護好(hǎo)自己的手機号和郵箱地址,防止信息洩露。
  3. 使用複雜密碼設置複雜度高的密碼,避免使用與自身信息相關的密碼結構,如生日、身份證号碼等。同時,不同賬戶使用不同的密碼,避免一次被(bèi)騙後(hòu)所有賬戶信息都(dōu)遭到攻擊。
  4. 定期更新軟件和操作系統及時更新軟件和操作系統,并安裝安全補丁,可以有效防範漏洞被(bèi)利用。
  5. 使用安全軟件:安裝殺毒軟件、防火牆等安全軟件,可以有效防範病毒、木馬等惡意程序的攻擊。
  6. 注意公共Wi-Fi的使用:不要随意連接公共Wi-Fi,避免使用敏感信息進(jìn)行網絡交易。
  7. 建立安全管理制度:企業或組織應建立完善的安全管理制度,加強員工的安全意識培訓,規範信息處理流程,建立多層次的安全防護體系。
  8. 定期審計和監控:定期對(duì)網絡系統進(jìn)行審計和監控,及時發(fā)現異常行爲和惡意攻擊,采取相應的措施應對(duì)。
  9. 建立快速響應機制對(duì)于已經(jīng)發(fā)生的攻擊行爲,應盡快采取措施應對(duì),如隔離、修複、報警等,將(jiāng)損失降到最低。
  10. 學(xué)習社會(huì)工程學(xué)知識了解社會(huì)工程學(xué)的技巧和策略,可以幫助人們更好(hǎo)地防範社會(huì)工程學(xué)攻擊。可以通過(guò)閱讀相關書籍、參加培訓課程等方式學(xué)習社會(huì)工程學(xué)知識。

 

注:本文素材來自華爲及AI,版權歸作者所有

上一篇:【龍田百科】防不勝防的詐騙、攻擊手段——社會(huì)工程學(xué) 下一篇:7位工程師!7項大獎!用實力诠釋服務

返回列表