最易得手的骗局——人性黑客与9个避免社交工程的技巧
Heather Doerges //
在BHIS提供的所有服务中,社交工程最让我感兴趣。这是我完全理解且自认为完全有能力执行的(甚至可能是唯一)技术。我也知道这是我们测试人员所做工作中较困难且令人不适的部分。这其实是好事,因为这意味着我们雇用的是诚实、善良、讨厌靠撒谎成功的好人——尽管他们擅长并成功管理着这类测试。
那么,究竟什么是社交工程?
它指的是通过心理操纵让人做出某些行为、泄露敏感信息,以获取网络或计算机系统的访问权限。这通常只是对个人或公司更大骗局/攻击的一部分。它非常类似网络钓鱼——通过伪装成电子通信中的可信实体,试图获取用户名、密码和信用卡详情等敏感信息。但网络钓鱼可能只是整体攻击的另一部分,而社交工程还包括通过电话甚至当面黑客攻击以获取信息。社交工程利用我们固有的乐于助人、善良、天真和轻信,来执行黑客技术和网络钓鱼诈骗。我们真是太狡猾了。
它是如何运作的?
我见过的一个令人难忘的社交工程案例如下:
[视频描述:黑客播放婴儿哭声,然后致电一家手机公司,以获取完全陌生人的账户访问权限。因为她假装是该陌生人新婚妻子、有哭泣的婴儿且表现得相当沮丧,手机公司不仅让她访问了账户上的电子邮件,还允许她更改该男子的密码——现在他甚至无法访问自己的账户。凭借这些信息,她现在可以在线进入他的账户,查看所有个人账户信息。说实话,我们很多人都在手机上保存了一些非常私人的信息。她可能早在他意识到之前,就已经访问了他的照片、账户信息、位置等。]
渗透测试人员采用这些方法(但没有恶意意图)来向公司展示这些攻击可能造成的破坏性。我们的测试人员受这些公司雇佣,测试通过社交工程获取其组织或人员访问权限的难度。
那么,抵抗这类攻击到底有多难?社交工程攻击有成千上万种变体。
以下是一些避免成为社交工程受害者的方法:大多数犯罪分子利用人类善良、使用干扰和问题,或假装属于服务行业。
9种避免社交工程的方法
-
对任何未经请求的消息或服务人员保持怀疑
如果电子邮件/电话/人员看起来来自您使用的公司,请自行研究。使用搜索引擎访问真实公司网站,或通过电话簿查找其电话号码。如果未知个人声称来自合法组织,请尝试直接向公司核实其身份。制作徽章或假ID非常简单,因此不要被“看起来”合法的人愚弄。(我们曾有客户在面对我们的渗透测试时如此紧张和多疑,甚至对来自BHIS员工的电子邮件也进行了与已知人员的双重核查——我们赞扬他们的安全努力!) -
放慢速度
注意周围环境。骗子希望您先行动后思考。如果有人传达紧迫感或使用高压销售策略,请保持怀疑;绝不要让他们的紧迫影响您的仔细审查。 -
拒绝帮助请求或帮助提供
合法公司和组织不会联系您提供帮助。如果您没有特别向发送方请求协助,请将任何“帮助”恢复信用评分、再融资房屋、回答您的问题、检查打印机、寻找白蚁等的提议视为骗局。同样,如果您收到来自没有关系的慈善机构或组织的帮助请求,请删除它。 -
删除或忽略任何财务信息或密码请求
如果您被要求回复包含个人信息的消息,那就是骗局。 -
不要提供信息
除非您确定某人有权获取信息,否则不要提供个人信息或关于您组织的信息,包括其结构或网络。即使是平凡的事情也可能火上浇油。另一个好例子是当您致电银行(或其他重要组织)时,他们通过问“您还住在Anytown的123 Road Street吗?”来验证您的地址。咔嗒! -
在检查网站安全性之前,不要通过互联网发送敏感信息
注意网站的URL。恶意网站可能看起来与合法网站完全相同,但URL可能使用拼写变体或不同域(例如,.com与.net)。 -
不要在社交媒体上过度分享
在社交媒体上分享太多信息可能使攻击者能够猜测密码或通过员工的帖子提取个人或公司的机密信息。此外,当有人试图获取更多个人详情时,它给了他们更多弹药。如果我能发现某人正在休产假,我可以制造各种其他细节,使我的社交工程攻击看起来更加合法。 -
安装和维护防病毒软件、防火墙和电子邮件过滤器,以减少此类在线流量。
-
小心您信任的人
这似乎非常明显,但在帮助和看到我的同事进行社交工程后,我更加了解到人们天生信任和乐于助人。他们准备相信您告诉他们的一切。这对人们来说是好事,但当我意识到自己也是如此时,这很可怕。练习善良的帮助,但不要自动完全信任某人。
这些技巧适用于商业和个人生活的各个领域。事实是,人们需要接受培训——根据digitalguardian.com的说法,人员是任何安全应用中最薄弱的环节。
公司至少应针对每个用户组(终端用户、IT员工、经理等)进行半年一次的培训,以便每个人都了解最新攻击。毕竟,这些攻击不仅针对“技术”员工,而是任何员工。黑客明白最薄弱的环节是教育和培训最少的人。
还应通过外部方(如BHIS的优秀测试人员)进行社交工程测试来测试员工。这类测试有助于让员工保持警惕,更有可能在商业和个人生活中避免攻击。
注意安全!