社会工程学攻击是利用人的心理弱点,采取欺骗、操纵、说服等危害手段,获取自身利益的手段。在网络安全领域,社会工程学攻击的主要目的是为了获得访问权限并破坏系统、获取有价值的数据、损害公司声誉或执行其他破坏性行动。
典型案例
某企业员工邮箱收到了一封要求更新系统登录的邮件,并附带了链接(指向虚拟登录网站的链接)。一旦员工点击并输入合法凭证,不法分子就能捕获信息,并可访问目标公司系统和敏感数据。
这是一个典型的社会工程学攻击案例,称为商业电子邮件入侵(BEC)攻击。威胁行为者创建了一封网络钓鱼邮件,引诱员工登录,并通过侦察技术获得了相关邮件地址和公司使用的基于Web的应用程序的信息。
社会工程学攻击步骤
社会工程学攻击大致按照以下步骤进行:
1. 信息收集
不法分子会在该阶段投入大量时间,以电话、社交平台、书面交流等方式收集目标信息。在一些案例中还会使用到肩窥、入侵/角色扮演、尾随和垃圾箱潜水攻击,更有甚者还会利用在线搜索等技术方法、开源情报工具来收集信息。
2. 建立融洽关系
不法分子会使用同情、认可、交换条件、提问和自我暂停等因素,建立和谐、积极的人设与目标建立信任关系。常见的手段有,通过分享个人故事,让目标产生同情,或通过模仿权威,让其提供信息。
3. 漏洞利用
在不引起怀疑的情况下,不法分子利用信息和关系渗透目标,并保持信任关系。漏洞利用的示例包括,允许进入设施、泄露商业机密、通过电话泄露密码和用户名,或打开受感染的邮件附件。
4. 执行
这是社会工程学骗局的最后阶段。如果成功执行,攻击可能会在目标注意前或完全不知情的情况下结束,并成功隐藏自己不法分子的真实身份。甚至目标还会以为做了一件积极的事情,并继续保持互动。
更多典型案例可查看:→ 漫说社工攻击的典型案例****
心理学:人类心理的6大"弱点"
1、互惠
这是一种"报恩"的责任感,人们觉得有义务回报那些帮助过我们的人。
2、承诺一致性
如果某人之前承诺了某个想法或目标,那么当你再次提起该想法或目标时,就更有可能得到同意并被再次接受。
3、社会证明
也称为跟风效应,人们倾向于接受大多数人认同的观点或行为。
4、喜欢
人们更容易受到他们喜欢的人的影响。
5、权威
人们倾向于服从对他人有控制或影响的权威人物,因此不法分子会通过冒充公司职位较高的人来获得有价值的信息。
6、稀缺性
会让人产生快速决策的紧迫感。当某样东西是稀有的、时间有限、数量有限时,它的价值就会增加。稀缺性会影响人们做出无意的决定。
社工攻击经常利用的5种情绪
1、贪婪
一种强烈而自私的欲望。如,以提供免费订阅服务、折扣和奖励的网络钓鱼邮件通常能吸引更多人采取行动。
2、好奇心
对了解某事的渴望和兴趣。如,涉及热门或敏感话题的消息及链接更容易引起人的注意。
3、紧迫性
虚假的安全警报,如病毒通知、账户登录和密码更改通知,会让人产生一种紧迫感,并促使人们不假思索地做出快速决策。
4、乐于助人
当某人需要帮助时,我们往往很乐于提供帮助。这种乐于助人的品质常被利用,如虚假捐赠。
5、恐惧
恐惧能引起强烈的焦虑情绪。如,紧急银行账户泄露通知,会让人产生恐惧,并急于纠正问题而采取行动,点击受感染的链接。
当网络攻击依赖于人机交互时,攻击往往更有效且更容易执行。 威胁行为者可以仅从个人的习惯、偏好和个性出发,而不需要复杂的攻击手段,就能破坏系统。
温馨提示
防范社会工程学攻击,可以采取以下措施:
1、谨慎对待信息请求
对于来自陌生人或不明的邮件、短信或电话,特别是要求提供敏感信息或执行操作的,要保持警惕!先确认对方身份及请求合法性!
2、警惕钓鱼攻击
警惕钓鱼邮件、信息和网站,避免点击来历不明的链接或下载未经验证的附件。认准官方网站上的联系方式。
3、使用强密码
强密码包括字母、数字和符号的组合。应该定期更改密码,并避免在多个账户间使用相同的密码。或者使用密码管理器,确保密码的安全性和唯一性。
4、启用多因素身份验证
对于如电子邮件、社交媒体、银行账户等在线账户,开启多因素身份验证。这样即使密码泄露,仍需额外的身份认证才能登录。
5、定期更新软件和系统
及时更新操作系统、应用程序和安全补丁等,修复已知漏洞,提升系统和应用程序的安全性。
6、保护个人信息
切勿在公共场合讨论和透露个人敏感信息,警惕来历不明的电话、电子邮件、或社交媒体的信息请求。
7、强化网络安全措施
为网络部署防火墙、入侵检测与防御系统(IDS/IPS)、安全信息和事件管理(SIEM)系统等,并定期检查和更新安全设备。
8、定期备份数据
定期备份重要数据,以防止数据泄露、勒索软件攻击等。
9、定期评估和更新安全策略
定期评估和更新安全策略和措施,以适应不断变化的威胁和攻击手段。
参考资料来自:www.tripwire.com/state-of-se...
近期推荐
更多内容,欢迎持续关注安胜网络!