深入解讀社會工程攻擊
假設你現在身處這樣一個情景中:一個端著熱咖啡托盤的人站在門前,因為要儘力維持平衡,她似乎無法將她的門卡放在讀卡器附近,那麼你該不該主動讓她進來呢?這確實是一件值得深思的事情。從禮貌上來說,幫助他人是一個非常紳士的行為,但是從安全上來說,開門,即打開了限制。你該讓她進來嗎?如果她真的只是無法騰出手來取出她的門卡,那麼答案顯然是肯定的。但是,如果還有其他事情發生怎麼辦?
當某人扮演著一個女人的角色——她的面容和表情讓你心生憐愛,並且來尋求你的幫助,你深思熟慮的姿態就會突然變得危險起來。現在,你已經讓她更容易進入她本身無法訪問或無權訪問的受限制設施,而她,會讓你變成社會工程的受害者。
社會工程是IT專業人士和網路安全專家經常會提到的一個專業術語,主要在談論網路釣魚、詐騙甚至某些惡意軟體(如勒索軟體)等網路威脅時使用,但實際上它的定義更為廣泛,所謂社會工程,指的是操縱或利用人的品質來服務於攻擊者目的的一種行為。
我們必須保護自己免受社會工程這種策略的侵害,就像我們保護設備免受惡意軟體侵害一樣。通過盡職調查,我們可以讓社會工程師難以獲得他們想要的東西。
自我弱點剖析
在我們討論「如何解決」之前,我們列出了社會工程師可以利用的人類情感因素和心理因素(包括潛在目標的劣勢),這也包括我們已經在上面提到過的情感——「同情」。還有一些易受攻擊的特徵如下:
疏忽
我們大多數人都會不小心點擊了一兩個鏈接,或者打開了可疑的電子郵件附件。而我們處理這種情況速度的快慢,將會決定其造成損害的程度,嚴重的,甚至會改變我們的生活。
利用疏忽的攻擊示例包括:
·註冊近似域名
·「同形異義字」釣魚攻擊
·黑帽SEO / SEO中毒
·點擊劫持
·跟車或捎帶
·竊聽
好奇心
你偶然收到了一封據稱是熟人的電子郵件,從主題行看,這是一封個人電子郵件,在郵件中,他說明了附件中包含發件人最近前往巴哈馬群島的照片,附件照片採用的壓縮文件ZIP格式。
如果此時你開始猶豫是否應該打開附件,那麼你可能容易受到基於好奇心的社會工程攻擊。我們已經看到很多用戶被這種方法欺騙了。
基於好奇心的攻擊示例包括:
·社交網站中的惡意軟體活動(「熱門視頻」Facebook詐騙,名人醜聞)
·其他欺騙你的獨家內容(與事故或災難相關的視頻)
·「誰訪問了你的個人資料」社交媒體詐騙
·USB攻擊
·傳統寄信攻擊
·新聞捆綁
恐懼
根據Charles E. Lively,Jr.在《基於心理的社會工程》一文中所說,利用恐懼的攻擊通常是最具侵略性的社會工程形式,因為它會使目標在高壓下感到焦慮,受到刺激和驚嚇。
此類攻擊使參與者願意做任何他們被要求做的事情,例如向威脅者匯款、轉讓知識產權或提供其他信息,威脅者可能冒充高級管理人員或假裝持有威脅性文件。這種性質的行為通常會誇大請求的重要性並規定截止日期——這樣做是希望在被受害者發現之前,得到他們要求的東西。
基於恐懼的攻擊示例包括:
·企業電子郵件泄密(BEC)/首席執行官(CEO)或首席財務官(CFO)欺詐
·勒索/敲詐(性勒索,勒索軟體)
·陌生電訪詐騙
·流氓軟體(假AV)
·語音網路釣魚
·假裝是軟體補丁的惡意軟體活動
慾望
慾望一直都是一種強大的心理動機,可以影響一個人的決策。布萊斯?帕斯卡說得好:「心知道方向,不需要理由。(The heart has its reasons which the mind knows nothing of. )」尋找生活中的愛欲、追求更多財富、或者想要免費午餐的人們可能會受到這種類型的攻擊。
基於慾望的攻擊示例包括:
·交友欺詐 /浪漫欺詐(包括LGBTQ社區的成員)
·網路交友釣魚
·網路釣魚活動
·用金錢或小玩意誘騙你的詐騙(例如419和「奈及利亞王子」詐騙)
·與彩票和賭博相關的騙局
·報酬欺詐
懷疑
懷疑具有不確定性。雖然懷疑有時可以阻止我們去做一些可能會後悔的事情,但社會工程師也可以利用懷疑來對我們進行攻擊,並且打我們個措手不及。因為懷疑會讓我們忽視潛在的某樣東西、某個人或某個想法。也就是說,我們最終可能會懷疑真相,而去更多的信任社會工程師。
一位互聯網用戶在她的分享中提到,有兩名假冒的AT&T員工在收到她的帳戶變更簡訊報告後,通過電話與她取得了聯繫,第一個聲稱是AT&T員工的人顯然是騙子,當她意識到這一點時,她掛斷了電話,但是第二個打電話的人很冷靜也很友善,這樣兩個一對比,她可能會因為對第一個人的懷疑而相信第二個人,這樣她就成功被騙了。
基於懷疑的攻擊示例包括:
·Apple iTunes詐騙
·付款詐騙
·付款轉移詐騙
·某些形式的社交黑客,特別是在社交媒體中
移情和同情
當他人收到災難侵襲時,人們會自然而然想要去提供援助或救濟。我們大多數人不能親自去受災地區進行志願服務,而上網更加容易實現援助——將信用卡詳細信息輸入到接收捐款的網站,然後點擊「Enter」即可。當然,並非所有這些網站都是真實的。社會工程師利用與移情或同情相關的情緒,從而將資金從實際需要的人身上轉移到自己的口袋裡。
基於同情的騙局示例包括:
·假孤兒院(在柬埔寨盛行)
·災難欺詐,相關雜誌確定了這類欺詐的五個主要類別:慈善募捐,承包商和供應商欺詐,偽造欺詐,價格欺詐和財產保險欺詐
·癌症欺詐
·利用Indiegogo,GoFundMe或Kickstarter等眾籌網站的詐騙
無知或天真
這可能是人們最常利用的特徵,毫無疑問,這也是我們說網路安全意識和網路安全教育不僅有用而且必不可少的原因之一。可以說,我們在這篇文章中提到的所有社會工程實例都依賴於這兩個因素。
雖然無知經常被用來描述一些粗魯或有偏見的人,但在這種情況下,它意味著缺乏知識或意識的人——特別是這些形式的犯罪存在於互聯網上的事實。「天真」還反映了某些用戶對某種技術或服務的運作缺乏一定的了解。
另一方面,社會工程師也可以通過裝聾作啞,利用對方的無知,充分發揮自己的優勢,以此得到他們想要的信息或好處。這是非常有效的,特別是當社會工程師滿嘴奉承時,對方很容易落入陷阱。
基於無知的攻擊示例包括:
·Venmo(一種小額支付軟體)詐騙
·亞馬遜禮品卡詐騙
·加密貨幣詐騙
疏忽或自滿
當有人走近我們的地盤時,理論上我們應該根據相關條例去驗明那個人的身份,只有當身份合法時,我們才能進允許他通過。這聽起來理所當然,而且好像很容易實現的樣子,但是有時我們會因為疏忽,或者自滿地認為「沒有問題」,而陷入社會工程師的陷阱。社會工程師也深知,我們中一些人會認為確定身份這個過程會妨礙他人通過,所以忽略了驗證的這一過程。
基於自滿的攻擊示例包括:
·物理社會工程嘗試,例如獲得對受限制地點的物理訪問和垃圾箱潛水
·假意受到委託
·分流盜竊
值得注意的是,社會工程活動(如BEC和網路釣魚)背後的威脅行為往往很複雜,常常針對了兩種或兩種以上的情緒或心理特徵,面向的可能是一個人,也可能是一個群體。
無論你面臨的問題是線上還是線下,重要的是要保持警惕,特別是當我們的能力還不足以馬上分辨出社會工程活動時。
打擊社會工程
思考應對社會工程的方法可能是一個挑戰,但許多人可能沒有意識到,使用基本的網路安全衛士也足以阻擋社會工程。在這裡,我們給你提供了一些預防措施,當它們適用於你的情況時,你可以自由地使用它們。
電子郵件
·如果收到了攜帶可疑鏈接或附件的電子郵件,請與發送者聯繫並核實(親自見面或通過其他通信手段聯繫)。如果你收到一封電子郵件報告了你的銀行賬戶發生了什麼時,你可以親自去銀行,或者使用銀行官方的服務進行核實。
·收到老闆的要求,儘快給他匯款?不要著急。首先你要做的是給領導打電話,核實他是否提出了這個要求,並且確認你是在和你的老闆本人談話,而不和冒充他的人在交流。
電話(固定電話或智能電話)
·當你從你的服務提供商接收潛在的詐騙簡訊時,直接聯繫服務商,而不是通過文本回復詢問是否有問題。
·不要接不在你聯繫人名單或者是你不認識的電話,特別是如果他們表現出跟你很熟的樣子。(騙子喜歡用與你相同的電話區域號,來讓你相信他是你認識的人。)
·避免直接或間接地向任何人透露信息。提醒自己,社會工程師正在思考怎樣讓你自己主動提供信息。
·應用DTA(不信任任何人)或零信任規則。這意味著你會用懷疑的目光看待接聽的每一個電話,並提出一些驗證對方身份的問題(必要時會主動提供虛假信息)。
·如果你已經感覺事情有些不對勁,那麼掛斷電話,在網上查找你剛剛收到的電話的信息,因為某個地方的人可能已經分享過相關經歷。
親身接觸
·當你遇到不認識的人觸碰你時,你可要小心。畢竟接觸是發生與朋友和家人之間的,而不是與你不知道或幾乎不認識的人。
·如果你注意到有人與你的怪癖或傾向一致時,要懷疑他們的動機。
·在辦公樓的公共區域內,不要隨口說出姓名、部門名稱和其他信息。要時刻提醒自己,在在公共場合是很容易被竊聽信息的。如果你喜歡與其他公司的員工在一起玩耍,那麼,儘可能地含糊其辭。在酒吧、俱樂部或餐館這些公共場合里,也要保持謹慎。
·經常檢查身份證明文件或其他相關文件,以確認他人的身份和目的。
社交媒體
·避開要求你使用社交媒體帳戶登錄的網站,特別是填寫調查或者登陸遊戲。許多網路釣魚就出現在這些形式中。
·如果你經常泡在社交媒體上(例如Twitter),遇到分享出來的鏈接一定要三思而行,因為你不知道這些鏈接是否把你帶到你想要的目的地,更重要的是,我們甚至不確定分享那些鏈接的是真實的人,還是為了實現某種目的的程序。
·如果你在社交網路收件箱中收到一個私人信息,內附一個工作邀請的鏈接,你最好先訪問該公司的官方網站,查找核對是否有職位空缺。如果您點擊了鏈接,網站要求您填寫詳細信息,請立即關閉它。
一個有趣的總結
當涉及到社會工程時,沒有一件事是小到能忽視的,畢竟,在安全方面犯錯很不應該。
那麼,如果有人端著一盤熱咖啡,拿不到她的出入證,你該怎麼辦?不要為她開門。相對地,你可以幫助她端起托盤,讓她自己拿出並使用她的出入證。如果你仍然認為這是一個壞主意,那麼讓她耐心等待,當你核實其安全性後再來幫助她。當然,前提條件是,當遇到社會工程師的攻擊時,安全部門、人資部門和前台都已經被訓練出能做出正確的反應。
祝你好運!
※WiFi新安全協議標準WPA3:四大安全新特性技術分析
※釣魚的藝術:三行代碼實現標籤釣魚
TAG:嘶吼RoarTalk |