社会工程学
October 06, 2023
社会工程学是一组描述如何影响他人观点和行为的方法和技术。这些方法通常集中关注问题,并将所选择的事物作为解决此问题的方案。随着通信技术的发展,社交工程活动变得越来越容易在短信、社交网络、电子邮件甚至电话中进行。社会工程学是一种特定的直接广告方法。
在网络安全中,社会工程学在恶意软件传播中起着重要作用。它的普适性允许黑客将其用于对企业的网络攻击或针对个人的大规模垃圾邮件活动。其总体的工程方法使其在不同环境中都能发挥作用。而且,它相对容易应用——你所需的只是一个可以激励受害者做出反应甚至是被迫反应的文本。没有复杂的软件,没有希望的随机事件——这对任何类别的网络犯罪分子来说都是理想的。
社会工程学如何工作?
需要提到的是,我们将审查在网络攻击中使用的社会工程学方法。还有许多其他方法,但它们大多数是相似的,一般的差异隐藏在它们如何使用上。如上所述,使用这个主题进行网络犯罪可能通过电子邮件或在不同的通信渠道(短信、论坛、游戏聊天)上的消息进行。社会工程学最常见的目标之一是让人们相信你并按照你的要求行事。这不是一件瞬间的事情,可能需要几天甚至几周的时间。但是,如果针对大量受众,花费一定的时间是值得的。显然,你获得的信任越多——就越有机会让人们上当受骗。但是,你想要欺骗的人越多,你需要的时间就越长。
在进行电子邮件欺骗时,你需要付出更少的努力来让别人相信你。你不需要直接接触,你只需要将你的消息伪装成来自合法发件人的消息即可。一些分析人士甚至将欺骗与社交工程分开-因为它太简单了。但是对于其他所有实践,你需要更多的工作。让我们看一下发生在现实生活中的几个社交工程示例。
社交工程攻击的例子:
1. 钓鱼
利用社交工程策略的最普遍方式,黑客会使用欺骗性的电子邮件、网站和短信来窃取不知情的受害者的敏感个人或组织信息。
2. 鱼叉式钓鱼
这种电子邮件诈骗用于对个人或企业进行有针对性的攻击。鱼叉式钓鱼比您平均的大规模钓鱼电子邮件更为复杂,需要对潜在目标及其组织进行深入的研究。
我们已经提到电子邮件欺骗作为初级社交工程的一个例子。然而,在不同的网络攻击中发生了更为复杂的情况。当通过伪造的电子邮件消息感染公司时,您需要做很多工作来使读者相信消息和发件人是合法的。例如,骗子可以介绍自己是某个公司的授权经销商,并向您提供与他们签订合同的机会。最终,您将收到一个包含宏的“合同条款和详细信息”的Word文档或Excel表。后者是Microsoft产品中最易受攻击的元素之一。黑客将恶意软件下载脚本添加到宏中;当您打开文件并允许宏时,您的PC将被感染。
3. 诱骗攻击
这种类型的攻击可以在线或在现实环境中实施。受害者通常会为敏感信息或其行踪的知情人承诺奖励。
4. 恶意软件
在勒索软件攻击的类别中,受害者会收到紧急措辞的消息,并被骗安装恶意软件在他们的设备上。具有讽刺意味的是,常见的策略是告诉受害者恶意软件已经安装在他们的电脑上,并且如果他们支付费用,发送方将删除该软件。
例如,Discord 成为了不同类别人群的对话场所。但是,其大部分受众是玩家和程序员。用户可以加入频道,在两个类别中提出问题。如何设置这个,通过那个级别,哪个框架最好 - 这些主题是这个社交网络的典型。同时,回答这些问题可能需要特殊的应用程序。
后者,恰恰是主要的攻击面。你可以将恶意软件伪装成整个程序,通过单个消息感染许多用户。为了让每个人相信这个文件是可信的,可以应用社会工程学。一伙骗子在 2021 年 2 月这样做了。一系列聊天从存在几个月并被认为是可靠和合法的账户中受到攻击。当然,相同的攻击在之前和之后也发生过 - 但从来没有达到如此大的规模。这种情况导致了“Discord 病毒”这个术语的出现。
5. 冒名顶替
这种攻击涉及攻击者假扮他人的身份来欺骗受害者放弃信息。冒名顶替通常针对具有大量客户数据的组织,例如银行、信用卡提供商和公用事业公司。
6. Quid Pro Quo(等价交换)
这种攻击的重点在于通过交换信息或服务来说服受害者采取行动。通常情况下,执行这些计划的网络犯罪分子不会进行高级目标研究,并扮演技术支持专业人员等身份,提供“帮助”。
7. 尾随(Tailgating)
这种攻击针对可以让犯罪分子物理访问安全建筑或区域的个人。这些骗局通常由于受害者错误的礼貌而成功,例如,如果他们为一个陌生的“雇员”保持门开放。
8. 电话诈骗(Vishing)
在这种情况下,网络犯罪分子会留下紧急语音邮件,以说服受害者必须迅速采取行动以保护自己免受被捕或其他风险。此外,银行、政府机构和执法机构通常是电话诈骗的常见角色扮演。
9. Water-Holing(饮水源攻击)
这种攻击使用高级社交工程技术感染网站及其访客的恶意软件。感染通常通过针对受害者所在行业的特定站点进行传播,例如定期访问的热门网站。
10. 电话(Phone Calls)
你可能听说过《华尔街之狼》这部电影。它展示了电话社交工程的含义。受害者接到一个电话,确保购买某些东西或向呼叫者支付钱款。在电影中描绘的时代(90年代),电话销售非常有效。当你使用许多专业术语和语言非常一致时,很容易向个人保证你是某个特定行业的专家。然后,当这个人相信你的专业能力时,就很容易让它做你想要的事情。
社交工程的最突出例子是技术支持诈骗电话。它在2021年年底出现,如今以不同形式存在。一开始,您会在浏览器窗口上看到可怕的横幅,说您的电脑感染了病毒,必须联系支持人员。或者,这些声明可能会通知您关于观看色情内容或访问被禁网站的违法行为。无论如何,您都会被要求拨打横幅上指定的电话号码。
在电话中,骗子会确保您在横幅上看到的一切都是真实的。他们会详细描述发生了什么以及如果您不按照他们的指示行事会发生什么灾难性的事情。安装“恶意软件清除程序”(虚假软件),转移“罚款”,甚至把您的个人完整信息提供给骗子-他们可以要求惊恐的受害者任何事情。
社交工程是否违法?
在上面的段落之后,您可能会认为社交工程是网络犯罪分子和骗子的命运。然而,这种技术的真正本质只是暗示的艺术。在某些情况下,它可以用于善意的目的-例如,阻止人们进行违法行为或吸毒。各种宗教信仰是完美的例子,它们确保人们按照上帝的意愿行事。这只是礼貌的生活方式,因此实际上,宗教指引教区走上正确的道路。
尽管如此,它肯定可以被称为双刃剑。虽然形成为善意的,但它在许多可疑情况下找到了应用,甚至常常是恶意的。您不会因为社交工程而受到惩罚,但如果您用它来欺骗别人,可能会面临法律诉讼。但是,这并不能阻止网络犯罪分子在这里和那里使用它。
如何保护自己?
这个问题无法简单回答。 每个人都有自己的易受骗程度。因此,每个人都会有自己的反应方式。这就是为什么我们决定仅描述最基本的建议。
- 不要忽视检查替代方法。即使有人提供了一种非常有效的解决问题的方法,审查该方法并搜索其他几种方法仍然是一个好主意。可能,审查提供的方法会揭示欺诈行为。
- 不要相信提供的应用程序。在上述在线通讯平台上,人们可以提供使用他们自己制作的应用程序。由于即使合法的应用程序也可能触发反恶意软件程序,因此忽略或禁用防病毒软件的建议听起来并不像一种威胁。尽管如此,确保该应用程序是安全的仍然很重要。
- 理性思考。没有人会无偿向你提供投资某物或免费购买某个东西的建议。即使这样的建议在过去十年可能是合适的,但现在已经不好了。如果这样的建议给你带来了不切实际的利润等,那么必须引起更多的怀疑。如果听起来太美好了,那么它很可能是假的。
- 检查提供物品的人员信息。如果你只有一个电话号码,那么就要检查它。这足以理解要求的内容。因特网使其成为可能,检查每个号码,越多的人从这个号码接到电话,就越有可能看到有关呼叫者及其意图的完整信息。
- 保持防病毒/反恶意软件软件更新 - 确保启用自动更新,或养成每天第一时间下载最新签名的习惯。定期检查以确保已应用更新,并扫描系统以检测可能的感染。
组织防范社会工程攻击的三种方法
以下措施可以帮助预防和防范针对贵公司的社会工程攻击:
1️⃣ 安全意识培训
安全意识教育应该是任何公司的持续活动。员工可能不了解社会工程的危害,或者即使了解,随着时间的推移可能会忘记细节。因此,对员工进行安全意识教育并不断更新,是防范社会工程攻击的第一道防线。
公司各级员工都应该接受培训,以避免通过电子邮件或电话向“销售”骗子提供有关常用硬件、软件、应用程序和资源的任何信息。
2️⃣ 杀毒软件和终端安全工具
主要措施是在用户设备上安装杀毒软件/反恶意软件和其他终端安全措施。现代终端保护工具可以识别和阻止明显的网络钓鱼信息或任何链接到威胁情报数据库中的恶意网站或IP地址的信息。它们还可以截获并停止用户设备上的恶意进程。尽管复杂的攻击旨在绕过或禁用终端和杀毒代理,但这些攻击往往会留下其他成功攻击的明显迹象。
3️⃣ 渗透测试
有无数创造性的方法可以用社会工程攻击穿透组织的防御。使用道德黑客进行渗透测试,允许具有黑客技能的个人识别和利用您组织的弱点。当渗透测试成功地破坏了敏感系统时,它可以帮助您发现必须重点保护的员工或技术,或者您可能特别容易受到社会工程攻击的方法。
