本文首发公众号网络研究院,微信关注获取更多。
您是否曾经发现自己处于这样的境地:感觉有人试图操纵您做一些您不想做的事情?也许是朋友、家人,甚至是陌生人。事实是,我们都会时不时地遇到试图影响我们的行为或决定的人。
但当这些策略越过界限进入心理操纵时会发生什么呢?
社会工程师使用各种策略来操纵个人和组织以谋取私利,其结果可能是毁灭性的。从网络钓鱼诈骗到社交媒体操纵,我们了解这些策略并学习如何保护自己免受它们的侵害至关重要。
在本文中,我们将探索社会工程的世界,并为您提供有关如何发现和避免心理操纵的实用技巧。因此,系好安全带,准备好学习如何保护自己免受这些危险策略的侵害。
社会工程策略的类型
社会工程攻击可以采取多种形式,攻击者使用多种策略来实现其目标。以下是社会工程师最常用的一些策略:
-
网络钓鱼诈骗:它们是最常见的社会工程攻击类型。攻击者使用电子邮件、短信或电话来诱骗个人泄露敏感信息或点击链接将恶意软件下载到他们的计算机上。网络钓鱼诈骗非常有效,因为它们通常看起来来自可信来源,例如银行或在线零售商。
-
诱饵:这是一种社会工程策略,涉及提供有价值的东西,例如免费礼品卡或 USB 驱动器,以换取敏感信息。攻击者可能会将 USB 驱动器留在公共场所,例如咖啡店,希望有人捡起它并将其插入计算机。
-
借口:这是社会工程师用来给目标制造虚假信任感的一种策略。攻击者将创建一个场景,要求目标透露敏感信息,例如密码或社会安全号码。例如,攻击者可能冒充 IT 支持技术人员并要求目标提供其登录凭据。
常见的心理操纵技巧
社会工程师使用各种心理操纵技术来影响他们的目标。这些技术旨在利用我们人类的自然倾向和情感,例如恐惧、贪婪和信任。以下是社会工程师最常用的一些心理操纵技术:
-
权威
社会工程师可能会利用他们感知到的权威来操纵他们的目标。例如,攻击者可能冒充警察或政府官员以获得目标的信任。 -
稀缺性
稀缺性是一种策略,涉及营造紧迫感或稀缺感以鼓励目标采取行动。例如,攻击者可能声称限时优惠中只剩下几个位置,以鼓励目标快速采取行动。 -
社会证明
社会证明是一种利用他人的意见或行为来影响目标的策略。例如,攻击者可能声称许多其他人已经利用了特定优惠,以鼓励目标这样做。 -
恐惧
恐惧是威胁行为者制造恐惧感以使受害者冲动行事的一种策略。他们声称受害者的计算机已感染病毒或他们的个人信息已被泄露。
需要注意的危险信号
虽然社会工程攻击可能非常有效,但通常会出现一些危险信号可以帮助您识别它们。以下是一些需要注意的危险信号:
-
紧迫性
社会工程攻击通常涉及紧迫感或稀缺感。如果您觉得自己被迫迅速采取行动,这可能是社会工程攻击的迹象。 -
可疑链接或附件
网络钓鱼诈骗通常涉及旨在将恶意软件下载到您的计算机上的链接或附件。如果您收到带有可疑链接或附件的电子邮件或消息,请务必小心。 -
请求敏感信息
社会工程师可能会请求敏感信息,例如密码或社会安全号码。提供敏感信息时要小心,并始终验证请求该信息的个人或组织的身份。
社会工程攻击的现实例子
现实生活中有许多社交工程攻击造成灾难性后果的例子。这里有一些例子:
2022 年对 Uber 的攻击
威胁行为者使用 Uber 的内部 Slack 平台冒充员工并获得内部网络访问权限。他们发布了露骨的图像,据信他们升级了权限并查看了敏感信息。该威胁行为者承认了他们的征服,并表示他们使用社交工程轻松渗透了 Uber 的安全协议。
2022 年对 Twilio 的攻击
威胁行为者通过窃取员工密码来访问私人客户和员工帐户信息。这是通过基础广泛的社会工程攻击完成的,其中包括向 Twilio 员工发送虚假的 IT 短信。
2022 年对 Rockstar Games 的攻击
Rockstar Games 遭受的社会工程攻击与 Uber 遭遇的事件类似,而且就在 Uber 遭遇同一威胁者惨败的几天后。一旦进入 Rockstar Games 的内部 Slack 频道,TeaPot 声称他能够访问当时尚未宣布的游戏《侠盗猎车手》续集的代码。
如何保护自己免受社会工程攻击
保护自己免受社会工程攻击需要多管齐下。您可以采取以下一些步骤来保护自己:
-
上网要小心
点击链接或下载附件时要小心,特别是当它们来自未知来源时。为每个在线帐户使用强大且唯一的密码,并尽可能启用双因素身份验证。 -
验证敏感信息请求
在提供敏感信息之前,请务必验证请求该信息的个人或组织的身份。如果您收到要求提供敏感信息的电话或电子邮件,请挂断或删除电子邮件,然后直接联系该组织以验证该请求。 -
及时了解最新的安全最佳实践
及时了解最新的安全最佳实践,例如启用软件自动更新以及使用防病毒软件保护您的计算机免受恶意软件的侵害。 -
创建个人和专业用途的安全计划
创建个人和专业用途的安全计划是保护自己免受社会工程攻击的重要一步。您可以采取以下一些步骤来创建安全计划: -
进行风险评估
进行风险评估以识别对您的个人或职业安全的潜在漏洞和威胁。这将帮助您确定安全措施的优先级并相应地分配资源。 -
建立安全政策和程序
建立安全政策和程序来管理您的个人或职业安全。这应包括密码管理、访问控制和事件响应的指南。 -
培训员工
如果您正在为工作场所或家庭制定安全计划,那么对员工或家庭成员进行安全最佳实践培训非常重要。这将有助于确保每个人在安全方面都达成共识。 -
教育和意识的重要性
教育和意识是保护自己免受社会工程攻击的关键。通过对您自己和您的员工或家庭成员进行社会工程师所使用的策略的教育,您可以帮助防止这些攻击得逞。及时了解最新的安全最佳实践并对可疑活动保持警惕非常重要。
社会工程攻击对个人和组织都构成严重威胁。通过了解社会工程师使用的策略并采取措施保护自己,您可以降低成为这些攻击受害者的风险。请记住在网上保持谨慎,验证对敏感信息的请求,并及时了解最新的安全最佳实践。
牢记这些提示,您可以保护自己和您的组织免受社会工程攻击的潜在破坏性后果的影响。