【安全科普】攻心为上!社工攻击如何利用心理学突破“防火墙”

社会工程学攻击是利用人的心理弱点,采取欺骗、操纵、说服等危害手段,获取自身利益的手段。在网络安全领域,社会工程学攻击的主要目的是为了获得访问权限并破坏系统、获取有价值的数据、损害公司声誉或执行其他破坏性行动。

典型案例

某企业员工邮箱收到了一封要求更新系统登录的邮件,并附带了链接(指向虚拟登录网站的链接)。一旦员工点击并输入合法凭证,不法分子就能捕获信息,并可访问目标公司系统和敏感数据。

这是一个典型的社会工程学攻击案例,称为商业电子邮件入侵(BEC)攻击。威胁行为者创建了一封网络钓鱼邮件,引诱员工登录,并通过侦察技术获得了相关邮件地址和公司使用的基于Web的应用程序的信息。

社会工程学攻击步骤

社会工程学攻击大致按照以下步骤进行:

1. 信息收集

不法分子会在该阶段投入大量时间,以电话、社交平台、书面交流等方式收集目标信息。在一些案例中还会使用到肩窥、入侵/角色扮演、尾随和垃圾箱潜水攻击,更有甚者还会利用在线搜索等技术方法、开源情报工具来收集信息。

2. 建立融洽关系

不法分子会使用同情、认可、交换条件、提问和自我暂停等因素,建立和谐、积极的人设与目标建立信任关系。常见的手段有,通过分享个人故事,让目标产生同情,或通过模仿权威,让其提供信息。

3. 漏洞利用

在不引起怀疑的情况下,不法分子利用信息和关系渗透目标,并保持信任关系。漏洞利用的示例包括,允许进入设施、泄露商业机密、通过电话泄露密码和用户名,或打开受感染的邮件附件。

4. 执行

这是社会工程学骗局的最后阶段。如果成功执行,攻击可能会在目标注意前或完全不知情的情况下结束,并成功隐藏自己不法分子的真实身份。甚至目标还会以为做了一件积极的事情,并继续保持互动。

更多典型案例可查看: 漫说社工攻击的典型案例****

心理学:人类心理的6大"弱点"

1、互惠

这是一种"报恩"的责任感,人们觉得有义务回报那些帮助过我们的人。

2、承诺一致性

如果某人之前承诺了某个想法或目标,那么当你再次提起该想法或目标时,就更有可能得到同意并被再次接受。

3、社会证明

也称为跟风效应,人们倾向于接受大多数人认同的观点或行为。

4、喜欢

人们更容易受到他们喜欢的人的影响。

5、权威

人们倾向于服从对他人有控制或影响的权威人物,因此不法分子会通过冒充公司职位较高的人来获得有价值的信息。

6、稀缺性

会让人产生快速决策的紧迫感。当某样东西是稀有的、时间有限、数量有限时,它的价值就会增加。稀缺性会影响人们做出无意的决定。

社工攻击经常利用的5种情绪

1、贪婪

一种强烈而自私的欲望。如,以提供免费订阅服务、折扣和奖励的网络钓鱼邮件通常能吸引更多人采取行动。

2、好奇心

对了解某事的渴望和兴趣。如,涉及热门或敏感话题的消息及链接更容易引起人的注意。

3、紧迫性

虚假的安全警报,如病毒通知、账户登录和密码更改通知,会让人产生一种紧迫感,并促使人们不假思索地做出快速决策。

4、乐于助人

当某人需要帮助时,我们往往很乐于提供帮助。这种乐于助人的品质常被利用,如虚假捐赠。

5、恐惧

恐惧能引起强烈的焦虑情绪。如,紧急银行账户泄露通知,会让人产生恐惧,并急于纠正问题而采取行动,点击受感染的链接。

当网络攻击依赖于人机交互时,攻击往往更有效且更容易执行。 威胁行为者可以仅从个人的习惯、偏好和个性出发,而不需要复杂的攻击手段,就能破坏系统。

温馨提示

防范社会工程学攻击,可以采取以下措施:

1、谨慎对待信息请求

对于来自陌生人或不明的邮件、短信或电话,特别是要求提供敏感信息或执行操作的,要保持警惕!先确认对方身份及请求合法性!

2、警惕钓鱼攻击

警惕钓鱼邮件、信息和网站,避免点击来历不明的链接或下载未经验证的附件。认准官方网站上的联系方式。

3、使用强密码

强密码包括字母、数字和符号的组合。应该定期更改密码,并避免在多个账户间使用相同的密码。或者使用密码管理器,确保密码的安全性和唯一性。

4、启用多因素身份验证

对于如电子邮件、社交媒体、银行账户等在线账户,开启多因素身份验证。这样即使密码泄露,仍需额外的身份认证才能登录。

5、定期更新软件和系统

及时更新操作系统、应用程序和安全补丁等,修复已知漏洞,提升系统和应用程序的安全性。

6、保护个人信息

切勿在公共场合讨论和透露个人敏感信息,警惕来历不明的电话、电子邮件、或社交媒体的信息请求。

7、强化网络安全措施

为网络部署防火墙、入侵检测与防御系统(IDS/IPS)、安全信息和事件管理(SIEM)系统等,并定期检查和更新安全设备。

8、定期备份数据

定期备份重要数据,以防止数据泄露、勒索软件攻击等。

9、定期评估和更新安全策略

定期评估和更新安全策略和措施,以适应不断变化的威胁和攻击手段。

参考资料来自:www.tripwire.com/state-of-se...

近期推荐

什么是数据安全和数据隐私?区别是什么?

切勿"孤注一掷"!常见社交软件诈骗"套路"及应对措施

网络安全面临的最大隐患,能够操纵人心的社会工程攻击是什么?

更多内容,欢迎持续关注安胜网络!

相关推荐
newxtc23 分钟前
【旷视科技-注册/登录安全分析报告】
人工智能·科技·安全·ddddocr
成都古河云24 分钟前
智慧场馆:安全、节能与智能化管理的未来
大数据·运维·人工智能·安全·智慧城市
Gworg24 分钟前
您与此网站之间建立的连接不安全解决方法
安全
ac-er88881 小时前
MySQL如何实现PHP输入安全
mysql·安全·php
jjyangyou5 小时前
物联网核心安全系列——物联网安全需求
物联网·算法·安全·嵌入式·产品经理·硬件·产品设计
AltmanChan5 小时前
大语言模型安全威胁
人工智能·安全·语言模型
马船长5 小时前
红帆OA iorepsavexml.aspx文件上传漏洞
安全
hikktn13 小时前
如何在 Rust 中实现内存安全:与 C/C++ 的对比分析
c语言·安全·rust
23zhgjx-NanKon15 小时前
华为eNSP:QinQ
网络·安全·华为
23zhgjx-NanKon15 小时前
华为eNSP:mux-vlan
网络·安全·华为