【安全科普】攻心为上!社工攻击如何利用心理学突破“防火墙”

社会工程学攻击是利用人的心理弱点,采取欺骗、操纵、说服等危害手段,获取自身利益的手段。在网络安全领域,社会工程学攻击的主要目的是为了获得访问权限并破坏系统、获取有价值的数据、损害公司声誉或执行其他破坏性行动。

典型案例

某企业员工邮箱收到了一封要求更新系统登录的邮件,并附带了链接(指向虚拟登录网站的链接)。一旦员工点击并输入合法凭证,不法分子就能捕获信息,并可访问目标公司系统和敏感数据。

这是一个典型的社会工程学攻击案例,称为商业电子邮件入侵(BEC)攻击。威胁行为者创建了一封网络钓鱼邮件,引诱员工登录,并通过侦察技术获得了相关邮件地址和公司使用的基于Web的应用程序的信息。

社会工程学攻击步骤

社会工程学攻击大致按照以下步骤进行:

1. 信息收集

不法分子会在该阶段投入大量时间,以电话、社交平台、书面交流等方式收集目标信息。在一些案例中还会使用到肩窥、入侵/角色扮演、尾随和垃圾箱潜水攻击,更有甚者还会利用在线搜索等技术方法、开源情报工具来收集信息。

2. 建立融洽关系

不法分子会使用同情、认可、交换条件、提问和自我暂停等因素,建立和谐、积极的人设与目标建立信任关系。常见的手段有,通过分享个人故事,让目标产生同情,或通过模仿权威,让其提供信息。

3. 漏洞利用

在不引起怀疑的情况下,不法分子利用信息和关系渗透目标,并保持信任关系。漏洞利用的示例包括,允许进入设施、泄露商业机密、通过电话泄露密码和用户名,或打开受感染的邮件附件。

4. 执行

这是社会工程学骗局的最后阶段。如果成功执行,攻击可能会在目标注意前或完全不知情的情况下结束,并成功隐藏自己不法分子的真实身份。甚至目标还会以为做了一件积极的事情,并继续保持互动。

更多典型案例可查看: 漫说社工攻击的典型案例****

心理学:人类心理的6大"弱点"

1、互惠

这是一种"报恩"的责任感,人们觉得有义务回报那些帮助过我们的人。

2、承诺一致性

如果某人之前承诺了某个想法或目标,那么当你再次提起该想法或目标时,就更有可能得到同意并被再次接受。

3、社会证明

也称为跟风效应,人们倾向于接受大多数人认同的观点或行为。

4、喜欢

人们更容易受到他们喜欢的人的影响。

5、权威

人们倾向于服从对他人有控制或影响的权威人物,因此不法分子会通过冒充公司职位较高的人来获得有价值的信息。

6、稀缺性

会让人产生快速决策的紧迫感。当某样东西是稀有的、时间有限、数量有限时,它的价值就会增加。稀缺性会影响人们做出无意的决定。

社工攻击经常利用的5种情绪

1、贪婪

一种强烈而自私的欲望。如,以提供免费订阅服务、折扣和奖励的网络钓鱼邮件通常能吸引更多人采取行动。

2、好奇心

对了解某事的渴望和兴趣。如,涉及热门或敏感话题的消息及链接更容易引起人的注意。

3、紧迫性

虚假的安全警报,如病毒通知、账户登录和密码更改通知,会让人产生一种紧迫感,并促使人们不假思索地做出快速决策。

4、乐于助人

当某人需要帮助时,我们往往很乐于提供帮助。这种乐于助人的品质常被利用,如虚假捐赠。

5、恐惧

恐惧能引起强烈的焦虑情绪。如,紧急银行账户泄露通知,会让人产生恐惧,并急于纠正问题而采取行动,点击受感染的链接。

当网络攻击依赖于人机交互时,攻击往往更有效且更容易执行。 威胁行为者可以仅从个人的习惯、偏好和个性出发,而不需要复杂的攻击手段,就能破坏系统。

温馨提示

防范社会工程学攻击,可以采取以下措施:

1、谨慎对待信息请求

对于来自陌生人或不明的邮件、短信或电话,特别是要求提供敏感信息或执行操作的,要保持警惕!先确认对方身份及请求合法性!

2、警惕钓鱼攻击

警惕钓鱼邮件、信息和网站,避免点击来历不明的链接或下载未经验证的附件。认准官方网站上的联系方式。

3、使用强密码

强密码包括字母、数字和符号的组合。应该定期更改密码,并避免在多个账户间使用相同的密码。或者使用密码管理器,确保密码的安全性和唯一性。

4、启用多因素身份验证

对于如电子邮件、社交媒体、银行账户等在线账户,开启多因素身份验证。这样即使密码泄露,仍需额外的身份认证才能登录。

5、定期更新软件和系统

及时更新操作系统、应用程序和安全补丁等,修复已知漏洞,提升系统和应用程序的安全性。

6、保护个人信息

切勿在公共场合讨论和透露个人敏感信息,警惕来历不明的电话、电子邮件、或社交媒体的信息请求。

7、强化网络安全措施

为网络部署防火墙、入侵检测与防御系统(IDS/IPS)、安全信息和事件管理(SIEM)系统等,并定期检查和更新安全设备。

8、定期备份数据

定期备份重要数据,以防止数据泄露、勒索软件攻击等。

9、定期评估和更新安全策略

定期评估和更新安全策略和措施,以适应不断变化的威胁和攻击手段。

参考资料来自:www.tripwire.com/state-of-se...

近期推荐

什么是数据安全和数据隐私?区别是什么?

切勿"孤注一掷"!常见社交软件诈骗"套路"及应对措施

网络安全面临的最大隐患,能够操纵人心的社会工程攻击是什么?

更多内容,欢迎持续关注安胜网络!

相关推荐
brrdg_sefg1 小时前
WEB 漏洞 - 文件包含漏洞深度解析
前端·网络·安全
浏览器爱好者1 小时前
谷歌浏览器的网络安全检测工具介绍
chrome·安全
独行soc2 小时前
#渗透测试#漏洞挖掘#红蓝攻防#护网#sql注入介绍11基于XML的SQL注入(XML-Based SQL Injection)
数据库·安全·web安全·漏洞挖掘·sql注入·hw·xml注入
安全方案5 小时前
如何增强网络安全意识?(附培训PPT资料)
网络·安全·web安全
H4_9Y6 小时前
顶顶通呼叫中心中间件mod_cti模块安全增强,预防盗打风险(mod_cti基于FreeSWITCH)
安全·中间件
Hacker_Oldv7 小时前
网络安全中常用浏览器插件、拓展
安全·web安全
hao_wujing9 小时前
网络安全攻防演练中的常见计策
安全·web安全
燕雀安知鸿鹄之志哉.9 小时前
攻防世界 web ics-06
网络·经验分享·安全·web安全·网络安全
鸭梨山大。11 小时前
Jenkins安全部署规范及安全基线
安全·中间件·jenkins