如今的网络威胁不仅仅只有关于技术的漏洞了,更多的其实是依赖于人际互动。在Verizon的2022年“数据泄露调查报告”中显示,82%的数据泄露涉及人为因素。网络攻击者们利用社会工程学来诱骗人们点击不安全的链接、打开恶意文件、输入相关数据、发送敏感信息、转移资金等等。
安全意识的培训的最终目标是将员工转变为网络安全的积极防御者。员工必须了解他们在帮助保护组织方面所扮演的关键角色。并且需要知道网络攻击是如何进行的,这就让社会工程学成为一个基本的网络安全意识。
- 什么是社会工程学?
社会工程学是著名的黑客米特尼克在《反欺骗的艺术》中所提出的,是一种通过受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段。
最开始的表现方式就是以人的因素攻击信息安全链中,最薄弱的环节,并且通过欺骗的手段入侵被骗者的计算机系统的一种攻击方式。
后来延伸到真实的社会生活中后,社工通常以跟你交流的方式套取用户的秘密,从而收集信息对被害人进行渗透。
- 网络攻击者如何利用社会工程学?
在把社会工程学作为网络安全意识的一部分时,就要仔细考虑攻击者如何利用这些技术来控制用户。通常情况下,都会通过以下这些角度来切入:
情绪上:通过传达一种紧迫感,产生对机会的兴奋,或者制造对赔钱或者做错事的恐惧
信任上:一般利用社会工程学的人会通过冒充你信任的人或利用受信任的品牌或权威机构
疲劳:通过定时的攻击,当被攻击者感到疲劳和分心的时候,会利用被攻击者的情绪思维,来指导他们的决策时刻。
- 社会工程学有多可怕?
社会工程学其实是非常可怕的,通常精通社工的人,仅仅是利用一个手机号、一个名字、一个单位、一个住址等等就可以对相关的人进行欺骗。
打个比方:某公司想要挖走竞争对手的员工,可以假装蛋糕店搞活动,只需要填写手机号和姓名就可以得到一块免费的蛋糕。通常没有网络安全意识的人都会上当,甚至会有可能拿到公司所有人的姓名和联系方式。
再举个例子,你有一个暗恋的人,你就可以通过社工轻而易举地知道他的详细情况。
- 社会工程学获取相关人的信息包括什么?
真实姓名/网络昵称
出生日期
身份证号
籍贯
手机号
QQ、微博、论坛、网易云等账号
就读的学校(包括小学、中学、大学)
学号
对方的朋友圈子
共同好友的资料
各种照片等等
拿到以上信息,大概有以下几种常用的方法:
1、网络钓鱼
会通过发恶意电子邮件来诱骗企业人员执行某些操作。通常涉及单击电子邮件或电子邮件附件中的恶意web链接。
roofpoint对“2022年网络钓鱼状况”报告的研究显示了网络钓鱼的普遍性和有效性:到2021年,86%的组织面临批量网络钓鱼攻击。在网络钓鱼模拟中,每 5 个用户中就有 1 个打开了电子邮件附件,每 10 个用户中就有 1 个用户单击了链接。
2、社交媒体
攻击者经常使用社交媒体来收集有关用户的信息,他们可以将其用作另一个活动的一部分。例如,他们可能会从企业信息网站收集有关公司高管的信息,以便在网络钓鱼活动中冒充该高管。攻击者可能会以财务部门的用户为目标。攻击者的侦察工作也可能包括直接接触目标。
3、发声和弹奏
通过这种社会工程技术,攻击者使用文本消息和语音更改软件向用户发送邮件消息或机器人呼叫他们。这些消息通常承诺提供礼物或服务以换取付款。这些类型的诈骗称为网络钓鱼(语音网络钓鱼)和短信(短信/文本网络钓鱼)。
4、电话攻击
近几个月来,面向电话的攻击(也称为回拨网络钓鱼)激增。这些攻击通常从电子邮件开始,并通过多个渠道进行。但这种方法的关键是人与人之间的电话交谈。当然,这些攻击需要受害者的积极参与。面向电话的攻击从声称来自合法来源的电子邮件开始,并包含用于客户帮助的电话号码。呼叫者连接到虚假的客户服务代表。然后,这些“代表”引导受害者完成攻击。
5、如何避免社会工程学攻击?
- 永远不要盲目的信任任何电子邮件、电话、社交媒体
- 行动之前要谨慎思考,任何需要付款、汇款的情况要再三确认
- 不要任何社交媒体上分享任何个人信息
- 点开链接和文件时都要小心
社会工程学是网络安全行业里的一个魔法,因为他不需要任何的技术手段,甚至不需要用到电脑就能轻易地得到别人的信息或者入侵别人的计算机。想要免受社会工程学的攻击就一定要提升自己的网络安全意识,都说魔法打败魔法,但是目前只有这一个方法能够打败社会工程学!