无论你的密码或安全设置有多强,黑客和攻击者都知道他们总是可以利用一个漏洞:你。

社会工程攻击利用“人为漏洞”来绕过网络安全障碍。他们不是入侵你的帐户来窃取你的身份,而是通过使用网络钓鱼攻击、冒名顶替欺诈和其他骗局来入侵你。

一. 什么是社会工程攻击?

社会工程是“人为黑客”进行欺诈和身份盗用的行为。

黑客使用欺骗性的心理操纵来灌输恐惧、兴奋或紧迫感。一旦你处于高度情绪化的状态,他们就会用它来对付你,以掩盖你更好的判断力。

只需要一个人为错误就可以成为社会工程攻击的受害者。这个漏洞是犯罪分子更频繁地使用社会工程技术的原因。

二. 社会工程攻击如何工作?

社会工程攻击相对简单。黑客需要做的就是说服一个消息不灵通、压力大或信任的人按照他们所说的去做。

这些攻击非常容易实现,并且它们都遵循类似的模式。

社会工程攻击的四个阶段是:

  1. 发现和调查
  2. 欺骗和钓鱼
  3. 攻击
  4. 撤退

1. 发现和调查

攻击者首先要确定他们正在寻找的目标所拥有的漏洞。这通常包括凭据、数据、未经授权的访问、金钱、机密信息等。

然后他们在网上寻找潜在的受害者。例如,他们会查看你的在线足迹,查看你的工作地点,记下你在社交媒体上分享的内容等等。

一旦他们知道你是谁,黑客就会使用这些信息来制作完美的个性化攻击。而且由于攻击者对你了解得太多,你更有可能降低警惕。

2.欺骗和钩子

随着攻击者更多地了解受害者,他们会寻找潜在的切入点。这些可能包括你的电子邮件地址、电话号码和社交媒体帐户,他们可以联系并为攻击打开大门的任何途径。

然后,他们用“钩子”伸出手来让你感兴趣。

例如,假设攻击者得到你刚考研的消息,他就可以伪造学校邮件发给你

3. 攻击

当钩子引诱你时,攻击者会执行几种类型的社会工程攻击之一。

例如,刚才的例子,你打开邮件填写信息的时候,你就已经暴露了。

在或者,链接中有一个针对微信的木马,你的微信账号和通讯录就会被盗取利用。

4. 消失

一旦罪犯完成任务,他们就会消失,证据尽可能少。

检测网络攻击或数据泄露的平均时间接近 200 天,因此你甚至不知道发生了什么,直到它们早已消失

三. 12 种最常见的社会工程攻击类型

1. 网络钓鱼攻击

网络钓鱼是最常见的社会工程策略类型

当攻击者使用任何形式的通信(通常是电子邮件)来“钓鱼”以获取信息时,就会发生网络钓鱼攻击。

这些邮件看起来与来自受信任来源(如组织和你认识的人)的邮件相同。

例如,攻击者可能会向你发送一封声称来自你的银行的电子邮件,说明你的帐户密码已泄露。

由于电子邮件看起来合法且消息感觉紧急,因此你将快速单击包含的链接或扫描QR码并输入你的帐户信息(然后直接发送给攻击者)。

任何网络钓鱼攻击都有三个主要目标:

    1. 让你点击一个链接。 网络钓鱼电子邮件通常包含在你的设备上安装恶意软件的链接。

     

    1. 让你下载附件。 攻击者还将恶意软件和病毒伪装成合法附件。例如,黑客会发送一封声称来自律师事务所的电子邮件,并附有“法院出庭通知”附件。但是当你下载它时,你的设备会被感染。
    1. 让你在网站上输入你的凭据。 很多时候,黑客会试图让你访问一个看起来合法的网站并输入凭据。例如,他们会向你发送一封电子邮件,说明在线帐户已被盗用并更改你的密码。但是你输入的任何内容(用户名,密码等)都会直接发送给他们。

被盗凭据和恶意软件可能导致,你的身份被盗用到金融欺诈、帐户接管、企业间谍活动等。最简单的例子就是,用你的身份去贷款。

2. 鱼叉式网络钓鱼

正常的网络钓鱼攻击没有特定目标。但是,当黑客针对特定的个人或组织时,就会发生鱼叉式网络钓鱼攻击。

鱼叉式网络钓鱼的新做法称为钓鱼者网络钓鱼。当攻击者在社交媒体上冒充客户服务帐户以让你向他们发送登录信息时,就会发生这种情况。

3. 捕鲸

捕鲸是一个术语,用于描述针对特定、知名人士的网络钓鱼攻击。通常是高管、政府官员或名人。

捕鲸袭击的受害者被认为是网络犯罪分子的“大鱼”。这些目标为攻击者提供了巨大的潜力,他们要么拥有巨额财务支出,要么可以访问有价值的数据。

在名人被黑客入侵的情况下,攻击者希望找到妥协的照片,他们可以用来勒索高昂的赎金。

在另一个示例中,黑客向 C 级员工发送欺骗性电子邮件,这些电子邮件似乎来自受害者的组织内部。发件人声称知道同事的机密信息,但害怕亲自报告情况。他们会以电子表格、PDF 或幻灯片的形式共享他们的证据。但是,当受害者单击该链接时,他们会被带到恶意网站。如果他们尝试打开附件,恶意软件会感染他们的系统并传播到他们的网络。

4. 短信钓鱼和钓鱼

网络钓鱼并不总是局限于电子邮件和欺诈网站。

短信钓鱼是用于描述通过使用 SMS 文本消息进行的网络钓鱼的术语。攻击者购买欺骗性的电话号码,并发送包含恶意链接的消息。

还有钓鱼,与网络钓鱼相同,但通过电话完成。

网络钓鱼在企业中尤其普遍。攻击者会联系公司的前台、客户服务、人力资源或 IT,并声称需要有关员工的个人信息。

5. 引诱

诱饵是一种社会工程攻击,攻击者通过向受害者承诺有价值的回报来引诱他们提供敏感信息。

例如,攻击者会创建弹出广告,提供免费游戏、音乐或电影下载。如果你单击该链接,你的设备将感染恶意软件。

诱饵攻击也存在于现实世界中。

一个常见的例子是战略性地放置带一个诱人标签的U盘,比如一个写着”学习笔记“的移动硬盘或U盘。

好奇的你会拿起它并将其插入你们的工作站,然后你们的整个网络就被感染了。

6. 捎带/尾随

捎带和尾随都是指一种攻击类型,指的是授权人员允许未经授权的人员访问受限区域。

如果你让某人跟随你进入大楼,这种形式的社会工程可能会发生在你的工作场所或你的家中。

比如你走了结果你老婆让隔壁老王进了家。

攻击者可能打扮成送货司机,说他们忘记了身份证,或者假装他们是“新人”。进入后,他们可以监视人员,访问工作站,检查邮箱上的姓名等等。

尾随还包括允许未经授权的用户(如同事或孩子)访问你的公司设备。它们可能会使你的设备面临风险,并将恶意代码传播到公司的其他部门。

7. Pretexting

我不知道这个应该怎么翻译……

当有人创建虚假角色或滥用其实际角色时,就会发生Pretexting。这是从内部发生数据泄露最常发生的情况。

这些攻击者使用他们的地位身份来建立信任,然后说服受害者向他们提供敏感数据。

比如一个男老师要求一位女学生放学留下……

8. 商业电子邮件入侵 (BEC)

这个主要是用于商业上。

这个不太好说,举个例子吧。

你买了一个产品,用了一段需要保修,对方说会发给你一个链接并填写你的信息。

9. 技术支持攻击

这个简单,你请了一个技术指导,结果他是一个社工者,修电脑的同时给你加了个后门。

10. 钓凯子

这个方式有点像钓凯子。只可意会不可言传。

11. 恐吓软件

当你看到这儿的时候,我要告诉你一个不幸的消息,该文章的URL被我植入了木马,你已经被攻击了……

这就是恐吓攻击

12. Scareware

这个玩应咱们国家玩的老溜了。

P2P下崽器,捆绑。

还有假网页,举个例子。

你登录京东,然后买了个东西。其实这个京东的网页是假的,你输入的信息被攻击者获取了,你付款的钱也没了。