社会工程学攻击揭秘:9招教你识破人性黑客陷阱

本文深入剖析社会工程学攻击原理,通过真实案例展示黑客如何利用人性弱点获取敏感信息,并提供9个实用防御技巧,帮助企业和个人有效防范此类非技术性网络攻击。

最易得手的骗局——人性黑客与9个避免社会工程学攻击的技巧

Heather Doerges //

在BHIS提供的所有服务中,社会工程学最让我感兴趣。这是我完全理解且自信能够执行的领域(甚至可能是唯一这样的领域)。同时我也知道,这是我们测试人员所做工作中较困难且令人不适的部分。这其实是好事,说明我们雇佣的是诚实善良、厌恶通过欺骗取胜的优秀人才。然而,他们依然能够出色地完成这项任务。

那么,究竟什么是社会工程学?

它指的是通过心理操纵使人们做出某些行为并泄露敏感信息,从而获取网络或计算机系统的访问权限。这通常只是对个人或公司更大规模骗局/攻击的一部分。它非常类似于网络钓鱼——通过伪装成电子通信中的可信实体来获取用户名、密码和信用卡详情等敏感信息。但虽然钓鱼可能是整体攻击的另一环节,社会工程学还包括通过电话甚至当面黑客手段获取信息。社会工程学利用我们与生俱来的乐于助人、善良、天真和轻信来执行黑客技术和钓鱼骗局。我们就是这么狡猾。

它是如何运作的?

我见过的一个令人印象深刻的社会工程学案例是这样的:

在这个视频中,黑客播放婴儿哭声,然后致电手机公司以获取完全陌生人的账户权限。由于她假装是该陌生人新婚妻子、带着哭泣的婴儿且表现得相当沮丧,手机公司不仅让她访问了账户邮箱,还允许她更改该男子的密码,导致他甚至无法登录自己的账户。凭借这些信息,她现在可以在线进入他的账户查看所有个人账户信息。说实话,我们很多人都在手机上保存着非常私密的信息。她可能在他意识到之前很久就获取了他的照片、账户信息、位置等更多数据。

渗透测试人员使用这些方法(但没有恶意意图)向公司展示这类攻击可能造成的破坏性后果。我们的测试人员受这些公司雇佣,测试通过社会工程学获取其组织或人员访问权限的难度。

那么,抵抗这类攻击到底有多难?社会工程学攻击实际上有成千上万种变体。

以下是一些避免成为社会工程学攻击受害者的方法:大多数犯罪分子利用人类善良、使用干扰和提问或假装服务行业人员。

9种避免社会工程学的方法

1.) 对任何未经请求的消息或服务人员保持怀疑 如果电子邮件/电话/人员看起来来自你使用的公司,请自行调查。使用搜索引擎访问真实公司网站,或通过电话簿查找其电话号码。如果未知个人声称来自合法组织,尝试直接向公司核实其身份。制作徽章或假ID非常简单,所以不要被"看起来"合法的人欺骗。(我们有客户在面对我们的渗透测试时如此紧张和多疑,甚至对来自BHIS员工的电子邮件也进行了双重核查——我们赞赏他们的安全努力!)

2.) 放慢速度 注意周围环境。骗子希望你先行事后思考。如果有人传达紧迫感或使用高压销售策略,保持怀疑;永远不要让他们的紧迫影响你的仔细审查。

3.) 拒绝帮助请求或帮助提供 合法公司和组织不会联系你提供帮助。如果你没有特别向发送方请求协助,将任何"帮助"恢复信用评分、重新融资房屋、回答你的问题、检查打印机、寻找白蚁等的提议视为骗局。同样,如果你收到来自没有关系的慈善机构或组织的帮助请求,请删除它。

4.) 删除或忽略任何财务信息或密码请求 如果你被要求回复包含个人信息的消息,那就是骗局。

5.) 不要提供信息 不要提供个人信息或关于你组织的信息,包括其结构或网络,除非你确定该人有权限获取这些信息。即使是平凡的事情也可能火上浇油。另一个很好的例子是当你致电银行(或其他重要组织)时,他们通过问你"你还住在Anytown的123 Road Street吗?“来验证你的地址。搞定!

6.) 在检查网站安全性之前不要通过互联网发送敏感信息 注意网站的URL。恶意网站可能看起来与合法网站完全相同,但URL可能使用拼写变体或不同域名(例如,.com与.net)。

7.) 不要在社交媒体上过度分享 在社交媒体上分享过多信息可能使攻击者能够猜测密码或通过员工帖子提取个人或公司的机密信息。此外,当有人试图获取更多个人详细信息时,这给了他们更多弹药。如果我能发现某人正在休产假,我可以制造各种其他细节,使我的社会工程学攻击看起来更加合法。

8.) 安装和维护防病毒软件、防火墙和电子邮件过滤器,以减少在线流量中的部分此类内容。

9.) 小心你信任的人 这看起来非常明显,但在帮助和观察我的同事进行社会工程学后,我更加了解到人们天生信任和乐于助人。他们准备相信你告诉他们的一切。这对人们来说是好事,但当我意识到自己也是如此时,这很可怕。实践善良的帮助,而不是自动完全信任某人。

这些技巧适用于商业和个人生活领域。事实是,人们需要接受培训——根据digitalguardian.com的说法,人是任何安全应用中最薄弱的环节。

公司至少应该为每个用户群体(终端用户、IT人员、经理等)提供半年一次的培训,以便每个人都了解最新攻击。毕竟,这些攻击不是针对"技术"员工,而是任何员工。黑客明白最薄弱的环节是教育和培训最少的个人。

还应该通过外部方(如BHIS的优秀测试人员)进行社会工程学测试来测试员工。这类测试有助于让员工保持警惕,更有可能在商业和个人生活中避免攻击。

注意安全!

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次