如何实施与防御社会工程攻击

本文最初发表于《信息安全生存指南》第二版。免费在线阅读或订购1美元实体副本，请访问Spearphish General Store。

社会工程是指使用欺骗性策略和技术操纵用户提供机密或敏感信息。这些信息随后可能被用于恶意目的。

实施社会工程攻击

通常，我们的红队评估从获取初始访问权限开始。这种初始访问通常通过社会工程手段实现，无论是通过Microsoft Teams消息、钓鱼邮件、短信钓鱼（smishing）还是语音钓鱼（vishing）电话。进行社会工程攻击有多种方式，并非每种方式都适用于每个组织。开发针对特定组织的完美社会工程诡计需要大量OSINT（开源情报）。例如，公司业务、使用的产品甚至客户提供的信息都被用来制定合适的诡计。

常见成功的社会工程诡计是从IT人员的角度出发，打电话讨论更新未正确推送或计算机未正常回传的问题。

最近，一名测试人员冒充人力资源部门打电话确认员工是否已完成年度评审。在继续通话之前，“人力资源代表”试图通过社会安全号后四位、出生日期和员工编号来验证通话对象的身份。验证完成后，测试人员提出几个关于评审和员工体验的通用问题。

这个诡计被证明非常成功。测试人员随后致电帮助台，声称丢失了存有密码管理器的手机，需要将新手机加入其MFA账户。利用社会工程获取的PII（个人可识别信息），测试人员成功将新手机加入MFA账户并重置了密码。被入侵的账户随后可用于访问敏感公司数据。

如有疑问，请通过其他方式验证合法性。信誉良好的人不会索要您的密码或登录信息。

防御社会工程攻击

那么，您可能会问，我们如何培训员工识别和报告社会工程尝试？答案是始终保持警惕，建立易于访问和使用的升级协议，并定期对团队进行社会工程演练。

遵循以下几个简单事项可以保护大多数用户：

• 始终检查邮件发送者。可以通过检查可疑邮件的邮件头来完成。
• 如果发件人地址与声称发送邮件的人不匹配，请报告。

对于短信或电话，用户可以对电话号码进行简单的反向号码搜索。大多数VoIP电话号码可疑。威胁行为者喜欢使用VoIP隐藏身份，且VoIP号码易于获取。

如果对邮件或电话/短信是否恶意存疑，请通过其他方式联系实际人员验证合法性。

用户可以自问以下问题，这些可能立即发出危险信号：

• 对用户提出了什么要求？
• 用户是否被要求下载软件或导航到Web应用程序？
• 是否好得令人难以置信？
• 是否被要求提供密码、出生日期、社会安全号后四位或其他敏感信息？

如果您认为自己成为社会工程攻击的目标，请通过另一种方式联系发件人。例如，如果来电者声称是公司内部IT部门，请通过已知的良好号码直接联系IT部门解决问题。

信誉良好的人不会索要您的密码或登录信息。

尽管社会工程尝试日益先进，但通用主题仍然适用。通过遵循这些规则并在内部建立适当的升级协议，您也可以反击社会工程攻击。

在我们的“初学者信息安全”博客系列中阅读更多内容：

• 如何在网络安全领域找到工作
• John Strand的计算机安全入门五阶段计划
• 从高中到网络忍者——几乎免费！
• 蓝队、红队和紫队：概述
• 渗透测试、威胁狩猎和SOC：概述
• 什么是渗透测试？
• 如何实施与防御社会工程攻击
• 网络安全中的人为因素：理解信任与社会工程
• 构建家庭实验室：设备、工具和技巧
• 初学者威胁猎人的问题
• Shenetworks推荐：9个必看的BHIS YouTube视频
• 心理健康——信息安全的挑战