什么是社会工程:定义、攻击
Oliver Jones 什么是社会工程?含义
社会工程是操纵计算系统的用户,让他们泄露可用于未经授权访问计算机系统的机密信息的一种艺术。该术语还可以包括诸如利用人类的善良、贪婪和好奇心来获取对受限区域的访问权限,或者让用户安装后门软件等活动。
了解黑客用来欺骗用户泄露包括登录信息在内的关键信息的技巧,对于保护计算机系统至关重要。
在本教程中,我们将向您介绍常见的社会工程技术以及如何制定安全措施来应对它们。
社会工程是如何运作的?
此处,
- 收集信息:这是第一阶段,攻击者会尽可能多地了解目标受害者。信息从公司网站、其他出版物收集,有时也会通过与目标系统的用户交谈来收集。
- 计划攻击:攻击者概述他/她打算如何执行攻击。
- 获取工具:这些包括攻击者在发动攻击时将使用的计算机程序。
- 攻击:利用目标系统的弱点。
- 使用获取的知识:在社会工程策略中收集的信息,例如宠物名字、组织创始人出生日期等,将用于诸如密码猜测之类的攻击。
社会工程攻击的类型
社会工程技术可以采取多种形式。以下是常用的技术列表。
熟悉度利用
用户对他们熟悉的人的警惕性较低。攻击者可以在社会工程攻击之前,通过与目标系统的用户互动来熟悉他们。攻击者可能会在用餐时、用户吸烟时加入、在社交活动中等与用户互动。这使得用户对攻击者感到熟悉。假设用户在一个需要访问代码或卡的建筑物工作;攻击者可能会在用户进入这些地方时跟踪他们。用户很可能会为攻击者开门让他们进去,因为他们彼此熟悉。攻击者还可以询问诸如“你在哪里遇到你的配偶”、“你的高中数学老师叫什么名字”等问题的答案。用户很可能会给出答案,因为他们信任熟悉的面孔。这些信息可用于破解电子邮件帐户和其他要求类似问题的帐户,如果某人忘记了密码。
恐吓环境
人们倾向于避开那些恐吓周围人的人。使用这种技术,攻击者可能会假装在电话上或与同伙进行激烈的争论。然后,攻击者可能会向用户索取用于损害用户系统安全的信息。用户很可能会给出正确答案,只是为了避免与攻击者发生冲突。此技术还可用于避免在安全检查点被检查。
网络钓鱼
此技术使用欺骗和诱骗来获取用户的私人数据。社会工程师可能会试图冒充Genuine网站,例如Yahoo,然后要求毫无戒心的用户确认他们的帐户名称和密码。此技术还可用于获取信用卡信息或任何其他有价值的个人数据。
尾随
这项技术涉及在用户进入限制区域时尾随他们。出于人类的礼貌,用户很可能会让社会工程师进入限制区域。
利用人类的好奇心
使用此技术,社会工程师可能会故意将受病毒感染的U盘丢弃在用户容易捡到的地方。用户很可能会将U盘插入计算机。U盘可能会自动运行病毒,或者用户可能会被诱惑打开一个名为“员工评估报告 2013.docx”的文件,而该文件实际上可能是一个被感染的文件。
利用人类的贪婪
使用此技术,社会工程师可能会以在线赚钱的承诺来引诱用户,让他们填写表格并使用信用卡详细信息确认其详细信息等。
如何防止社会工程攻击?
以下是一些防范所有类型社会工程攻击的重要方法
- 避免将未知U盘插入您的计算机。
- 切勿点击任何电子邮件或消息中的链接。
- 使用强密码(和密码管理器)。
- 使用多重身份验证。
- 非常警惕建立纯在线友谊。
- 保持所有软件更新。
- 保护您的计算设备。
- 购买防病毒软件。
- 定期备份您的数据。
- 定期销毁敏感文件。
- 使用VPN。
- 锁定您的笔记本电脑
社会工程对策
社会工程师使用的大多数技术都涉及操纵人类的偏见。要应对这些技术,组织可以:
- 为了应对熟悉度利用,必须对用户进行培训,使其不将熟悉度与安全措施混淆。即使是他们熟悉的人,也必须证明他们有权访问某些区域和信息。
- 为了应对恐吓环境攻击,必须对用户进行培训,使其能够识别探测敏感信息的社会工程技术,并礼貌地拒绝。
- 为了应对网络钓鱼技术,许多网站(如Yahoo)使用安全连接来加密数据并证明他们的身份。检查URL有助于您发现虚假网站。避免回复要求您提供个人信息的电子邮件。
- 为了应对尾随攻击,必须对用户进行培训,不要让其他人利用他们的安全权限进入限制区域。每个用户都必须使用自己的访问权限。
- 为了应对人类的好奇心,最好将捡到的U盘提交给系统管理员,由他们扫描病毒或其他感染,最好是在隔离的机器上。
- 为了应对利用人类贪婪的技术,必须对员工进行培训,告知他们落入此类骗局的危险。
摘要
- 社会工程是利用人为因素来获取未经授权资源的一种艺术。
- 社会工程师使用多种技术来愚弄用户,让他们泄露敏感信息。
- 组织必须制定包含社会工程对策的安全策略。
