通过欺骗和操纵,社会工程攻击诱使目标做攻击者想要做的事情。社会工程师可能会使用诡计、胁迫或其他手段来影响他们的目标。
社会工程威胁
网络攻击的一个流行概念是,它们涉及黑客识别和利用组织系统中的漏洞。这使他们能够访问敏感数据、植入恶意软件或采取其他恶意行动。虽然这些类型的攻击很常见,但更常见的威胁是社会工程。一般来说,诱骗一个人采取特定行动(例如将他们的登录凭据输入网络钓鱼页面)比通过其他方式实现相同目标更容易。
11 种社会工程学攻击
网络威胁参与者可以通过各种方式使用社会工程技术来实现他们的目标。常见社会工程攻击的一些示例包括:
网络钓鱼:网络钓鱼涉及发送旨在欺骗或胁迫目标执行某些操作的消息。例如,网络钓鱼电子邮件通常包含指向网络钓鱼网页的链接或使用户计算机感染恶意软件的附件。鱼叉式网络钓鱼攻击是一种针对个人或小团体的网络钓鱼。
商业电子邮件妥协(BEC):在 BEC 攻击中,攻击者伪装成组织内的高管。然后,攻击者指示一名员工进行电汇,向攻击者汇款。
发票欺诈:在某些情况下,网络犯罪分子可能会冒充供应商或供应商从组织中窃取资金。攻击者发送一张伪造的发票,付款后,会将钱汇给攻击者。
品牌冒充:品牌冒充是社会工程攻击中的一种常见技术。例如,网络钓鱼者可能假装来自主要品牌(DHL、LinkedIn 等)并诱骗目标登录他们在网络钓鱼页面上的帐户,向攻击者提供用户的凭据。
捕鲸:捕鲸攻击基本上是针对组织内高级员工的鱼叉式网络钓鱼攻击。高管和上层管理人员有权授权有利于攻击者的行动。
诱饵:诱饵攻击使用免费或令人满意的借口来吸引目标的兴趣,促使他们交出登录凭据或采取其他行动。例如,以免费音乐或高级软件折扣来吸引目标。
网络钓鱼:网络钓鱼或“语音网络钓鱼”是一种通过电话进行的社会工程形式。它使用与网络钓鱼类似的技巧和技术,但使用不同的媒介。
网络钓鱼:网络钓鱼是通过 SMS 文本消息执行的网络钓鱼。随着智能手机和缩短链接服务的使用越来越多,网络钓鱼正成为一种越来越普遍的威胁。
借口:借口涉及攻击者创建一个虚假场景,在该场景中,目标向攻击者汇款或移交敏感信息是合乎逻辑的。例如,攻击者可能声称自己是受信任方,需要信息来验证受害者的身份。
Quid Pro Quo:在交换条件攻击中,攻击者给目标一些东西——例如金钱或服务——以换取有价值的信息。
尾随/搭载:尾随和搭载是用于进入安全区域的社会工程技术。社会工程师会在某人不知情的情况下跟踪某人进门。例如,员工可能会为搬运沉重包裹的人扶门。
如何防止社会工程攻击
社会工程针对组织的员工而不是其系统中的弱点。组织可以防止社会工程攻击的一些方法包括:
员工教育:社会工程攻击旨在欺骗预期目标。培训员工识别并正确应对常见的社会工程技术有助于降低他们被这些技术所欺骗的风险。
最小权限:社会工程攻击通常以用户凭据为目标,这些凭据可用于后续攻击。限制用户的访问权限可以限制使用这些凭据可能造成的损害。
职责分离:关键流程(例如电汇)的责任应在多方之间分配。这确保了攻击者不会欺骗或胁迫任何一名员工执行这些操作。
反网络钓鱼解决方案:网络钓鱼是最常见的社会工程形式。电子邮件扫描等反网络钓鱼解决方案有助于识别和阻止恶意电子邮件到达用户的收件箱。
多因素身份验证 (MFA): MFA 使攻击者更难使用被社会工程学破坏的凭据。除了密码之外,攻击者还需要访问其他 MFA 因素。
端点安全:社会工程通常用于将恶意软件传送到目标系统。端点安全解决方案可以通过识别和修复恶意软件感染来限制成功的网络钓鱼攻击的负面影响。