如何执行与防御社会工程攻击
本文最初发表于《信息安全生存指南》第二版。可在线免费获取或通过Spearphish General Store订购1美元实体版。
社会工程是指使用欺骗性策略和技术操纵用户提供机密或敏感信息。这些信息随后可能被用于恶意目的。
执行社会工程攻击
通常,我们的红队评估从获取初始访问权限开始。这种初始访问通常通过社会工程实现,无论是通过Microsoft Teams消息、钓鱼邮件、短信钓鱼(smishing)还是语音钓鱼(vishing)电话。执行社会工程有多种方式,并非每种方式都适用于每个组织。开发针对特定组织的完美社会工程骗局需要大量OSINT(开源情报)工作。包括公司业务、使用的产品甚至客户提供的信息都被用来制定合适的骗局。
常见成功的社会工程骗局通常以IT人员的视角进行,例如打电话讨论更新未正确推送或计算机未正常回调的问题。
最近,一名测试人员冒充人力资源部门打电话确认员工是否已完成年度评估。在继续通话前,“人力资源代表"试图通过社保号后四位、出生日期和员工编号来验证接听电话者的身份。验证完成后,测试人员继续询问了几个关于评估和员工体验的通用问题。
这个骗局被证明非常成功。测试人员随后致电帮助台,声称丢失了存有密码管理器的手机,需要将新手机加入其MFA账户。利用通过社会工程获取的PII(个人可识别信息),测试人员成功将新手机加入MFA账户并重置了密码。被入侵的账户随后可用于访问敏感公司数据。
如有疑问,请通过其他方式验证合法性。任何信誉良好的个人都不会要求您提供密码或登录信息。
防御社会工程攻击
那么,您可能会问,我们如何培训员工识别和报告社会工程尝试?答案是始终保持警惕,建立易于访问和使用的升级协议,并定期对团队进行社会工程演练。
遵循以下几个简单事项可以保护大多数用户:
- 始终检查邮件发送者。可以通过检查可疑邮件的邮件头来实现。
- 如果发件人地址与声称发送邮件者不匹配,请立即报告。
- 对于短信或电话,用户可以对电话号码进行简单的反向号码搜索。大多数VoIP电话号码都值得怀疑。威胁行为者喜欢使用VoIP隐藏身份,且VoIP号码易于获取。
- 如果不确定邮件或电话/短信是否恶意,请通过其他方式联系实际人员验证合法性。
用户可以问自己以下几个表明立即危险信号的问题:
- 对用户提出了什么要求?
- 是否要求用户下载软件或访问网络应用程序?
- 是否好得令人难以置信?
- 是否被要求提供密码、出生日期、社保号后四位或其他敏感信息?
如果您认为自己成为社会工程尝试的目标,请通过其他方式联系发件人。例如,如果来电者声称是公司内部IT部门,请通过已知可信号码直接联系IT部门解决问题。
任何信誉良好的个人都不会要求您提供密码或登录信息。
虽然社会工程尝试变得越来越先进,但相同的通用主题仍然适用。通过建立这些规则和内部适当的升级协议,您也可以反击社会工程攻击。
在我们的"信息安全初学者"博客系列中阅读更多内容:
- 如何在网络安全领域找到工作
- John Strand的计算机安全入门五阶段计划
- 从高中到网络忍者——几乎免费!
- 蓝队、红队和紫队:概述
- 渗透测试、威胁狩猎和SOC:概述
- 什么是渗透测试?
- 如何执行与防御社会工程攻击
- 网络安全中的人为因素:理解信任与社会工程
- 构建家庭实验室:设备、工具和技巧
- 初级威胁猎人的问题
- Shenetworks推荐:9个必看的BHIS YouTube视频
- 心理健康——信息安全的挑战