社會工程(網絡安全方面)

社會工程學描述了一系列非技術攻擊技術,網絡罪犯使用這些技術來操縱用戶以使其凌駕於安全性或其他業務流程協議之上,執行有害操作或放棄敏感信息。

Reading time icon

5分鐘閱讀

Reading time icon

5分鐘閱讀

社會工程學如何運作?

大多數社會工程學技術不需要攻擊者俱備任何技術技能,這意味著從小偷小偷到最老練的攻擊者,任何人都可以在此空間進行操作。

網絡安全中有許多技術屬於社會工程學的總稱。 最著名的是垃圾郵件和網絡釣魚:

垃圾郵件是大量發送的任何形式的未經請求的通信。 垃圾郵件通常是發送給盡可能多的用戶的電子郵件,但也可以通過即時消息,SMS和社交媒體進行傳遞。 垃圾郵件本質上不是社會工程學,但其某些活動利用了社會工程學技術,例如網絡釣魚,魚叉式釣魚,網絡釣魚,欺騙或傳播惡意附件或鏈接。

網絡釣魚是網絡攻擊的一種形式,其中,犯罪分子冒充可信賴的實體來向受害者請求敏感信息。 這些類型的欺詐通常會試圖營造一種緊迫感,或者採用恐嚇手段來強迫受害者遵守攻擊者的要求。 網絡釣魚活動可以針對大量匿名用戶,特定受害者或特定受害者。

但是,它們並不是唯一的技術。 也要注意以下幾點:

魚叉式網絡釣魚是網絡釣魚的一種目標形式,攻擊者在其中將高度定制的消息發送給有限的一群人,甚至只是一個人,目的是收集其數據或操縱他們執行有害的操作。

垃圾郵件和網絡釣魚是類似於釣魚的社會工程技術,但是通過電子郵件以外的其他方式進行。 網絡釣魚(語音網絡釣魚)使用欺詐性電話,而網絡釣魚(SMS網絡釣魚)使用包含惡意鏈接或內容的SMS文本消息。

網絡安全中的模擬與物理世界中的模擬具有相似的含義。 網絡犯罪分子以可信賴的角色名義行事,欺騙受害者採取損害自身或組織的行為。 一個典型的例子是,攻擊者冒充公司首席執行官-當首席執行官不在辦公室時-下達並批准欺詐性交易。

技術支持詐騙通常是虛假的電話或網絡廣告,攻擊者在其中向受害者提供未經請求的技術支持服務。 實際上,網絡罪犯試圖通過出售假服務和消除不存在的問題來賺錢。

恐嚇軟件是一種利用各種引發焦慮的技術來操縱受害者以在他們的設備上安裝更多惡意代碼的軟件,同時通常還提取無法運行或完全惡意的軟件的費用。 一個典型的例子是偽造的防病毒產品,該產品旨在誘使用戶認為其設備已受到威脅,並且他們需要安裝特定的(通常有害的)軟件來消除問題。

(網絡)詐騙是欺詐性計劃,通常採用本節中描述的一種或什至幾種社會工程技術。

中小型企業為什麼要關心社會工程?

根據佐格比分析(Zogby Analytics)代表美國國家網絡安全聯盟進行的2019年調查,中小型企業越來越意識到自己是網絡犯罪分子的目標。 擁有251-500名員工的公司中,近半數(44%)表示在過去12個月內發生了官方數據洩露事件。 調查發現,有88%的小型企業認為他們至少是網絡犯罪分子的“某種可能性”目標,其中近一半(46%)的人認為他們是“極有可能”的目標。

損害是真實而廣泛的,這一點在FBI的互聯網犯罪中心(IC3)年度報告中得到了很好的說明。 美國聯邦調查局(FBI)估計,僅在2018年,美國公司就因網絡攻擊而損失了超過27億美元,其中包括因允許未經授權轉移資金的企業電子郵件洩露(BEC)/電子郵件帳戶洩露(EAC)而造成的12億美元損失。

如何識別社會工程學攻擊?

有幾個危險信號可以預示著社會工程攻擊。 語法和拼寫不佳是其中之一。 因此,迫切需要促使接收者毫無疑問地採取行動的緊迫感。 任何對敏感數據的請求都應立即敲響警鐘:知名公司通常不會通過電子郵件或短信要求提供密碼或個人數據。

一些指向社會工程學的危險信號:

1. 通用語言

通常,攻擊者不會過於注重細節,發送的郵件充滿錯別字,單詞遺漏和語法錯誤。 可以表示已嘗試攻擊的另一個語言元素是通用問候和表述。 因此,如果電子郵件以“親愛的收件人”或“親愛的用戶”開頭,請當心。

2. 奇怪的發件人地址

大多數垃圾郵件發送者不會花時間來欺騙發件人的名稱或域名,以使它們看起來值得信賴。 因此,如果電子郵件是由隨機數和字符組成的地址或收件人不知道的地址,則應將其直接放入垃圾郵件文件夾並報告給IT部門。

3. 緊迫感

從事社會工程運動的罪犯經常試圖通過使用引起焦慮的短語來嚇victims受害者,例如“立即向我們發送您的詳細信息,否則您的包裹將被丟棄”或“如果您現在不更新個人資料,我們將關閉 你的帳戶”。 銀行,包裹公司,公共機構甚至內部部門通常以中立和實際的方式進行溝通。 因此,如果郵件試圖促使收件人迅速採取行動,則可能是惡意的,並且可能是危險的騙局。

4. 要求提供敏感信息

除非由員工發起聯繫,否則您自己公司中的機構甚至其他部門通常不會通過電子郵件或電話請求敏感信息。

5.如果聽起來有些不可思議,那可能是

對於不請自來的社交媒體贈品而言,這確實如此,對於剛剛落入您的收件箱中的“出色而又有時間限制的商業機會”而言,也是如此。

保護企業免受社會工程攻擊的5種方法

1. 對所有員工(包括高層管理人員和IT人員)進行定期的網絡安全培訓。 請記住,此類培訓應顯示或模擬現實生活中的情景。 學習點必須是可行的,並且最重要的是,必須在培訓室外進行積極測試:社會工程學技術依賴於對其目標的低網絡安全意識。

2. 掃描弱密碼,這些密碼有可能成為組織網絡中攻擊者的門戶。 此外,通過實施多因素身份驗證,可以通過另一層安全保護密碼。

3. 實施技術解決方案來解決欺詐通信,以便檢測,隔離,中和和刪除垃圾郵件和網絡釣魚郵件。 安全解決方案(包括ESET提供的許多解決方案)具有部分或全部這些功能。

4. 創建易於理解的安全策略,供員工使用,並幫助他們確定在遇到社會工程時需要採取的步驟。

5. 使用安全解決方案和管理工具(例如ESET Cloud Administrator),通過為管理員提供全面的可見性以及檢測和緩解網絡中潛在威脅的能力,可以保護組織的端點和網絡。

立即與社會工程學作戰

ESET Cloud Administrator product card

通過使用ESET多層端點安全解決方案(包括通過雲的LiveGrid®和網絡攻擊保護以及ESET Cloud Administrator)和ESET Cloud Administrator,使您的組織免受社會工程的影響,從而為您的管理員提供全面,詳細的網絡可見性。