如何实施与防御社会工程学攻击

| 作者：Ashley Knowles

本文最初发表于《信息安全生存指南》第二版。可在线免费阅读或通过Spearphish General Store订购1美元实体版。

社会工程学是指利用欺骗性策略和技术操纵用户提供机密或敏感信息，这些信息随后可能被用于恶意目的。

实施社会工程学

通常，我们的红队评估从获取初始访问权限开始。这种初始访问通常通过社会工程学手段实现，包括Microsoft Teams消息、钓鱼邮件、短信钓鱼（smishing）或语音钓鱼（vishing）呼叫。实施社会工程学有多种方式，并非每种方式都适用于每个组织。针对特定组织设计完美的社会工程学骗局需要大量开源情报（OSINT），包括公司业务、使用的产品甚至客户提供的信息。

常见的成功社会工程学骗局通常伪装成IT人员，致电讨论更新推送问题或计算机无法正常连接等问题。最近，一名测试人员冒充人力资源部门，致电确认员工是否已完成年度评估。在继续通话前，“HR代表"试图通过社保号后四位、出生日期和员工编号验证对方身份。验证完成后，测试人员提出几个关于评估和员工体验的通用问题。

这个骗局被证明非常成功。测试人员随后致电帮助台，声称丢失了存有密码管理器的手机，需要将新手机加入MFA账户。利用通过社会工程学获取的个人身份信息（PII），测试人员成功将新手机加入MFA账户并重置密码。被入侵的账户随后可用于访问敏感公司数据。

如有疑问，请通过其他方式验证合法性。任何信誉良好的个人都不会索要您的密码或登录信息。

防御社会工程学

您可能会问，如何培训员工识别和报告社会工程学尝试？答案是始终保持警惕，建立易于访问和使用的升级协议，并定期对团队进行社会工程学演练。

遵循以下几个简单原则可以保护大多数用户：

• 始终检查邮件发送者。可通过检查可疑邮件的邮件头实现
• 如果发件人地址与声称的发送者不匹配，立即报告
• 对于短信或电话，用户可对电话号码进行简单的反向号码查询。大多数VoIP电话号码都值得怀疑
• 威胁行为者喜欢使用VoIP隐藏身份，且VoIP号码易于获取
• 如果对邮件或电话/短信的合法性存疑，通过其他方式联系实际人员进行验证

用户可自问以下问题来识别危险信号：

• 对用户提出了什么要求？
• 是否被要求下载软件或访问网络应用程序？
• 是否好得令人难以置信？
• 是否被索要密码、出生日期、社保号后四位或其他敏感信息？

如果您认为自己成为社会工程学攻击目标，请通过其他方式联系发送者。例如，如果来电者声称是公司内部IT部门，请通过已知可信号码直接联系IT部门解决问题。

任何信誉良好的个人都不会索要您的密码或登录信息。

虽然社会工程学攻击手段日益先进，但基本模式相同。通过遵循这些规则并建立内部升级协议，您也能有效防御社会工程学攻击。

延伸阅读：

• 如何获得网络安全工作
• John Strand的计算机安全入门五阶段计划
• 从高中生到网络忍者——几乎免费！
• 蓝队、红队和紫队概述
• 渗透测试、威胁狩猎和SOC概述
• 什么是渗透测试？
• 网络安全中的人为因素：理解信任与社会工程学
• 构建家庭实验室：设备、工具和技巧
• 初级威胁猎人的问题
• Shenetworks推荐：9个必看的BHIS YouTube视频
• 心理健康——信息安全的挑战