为什么社会工程如此危险
由于社会工程主要针对人们的心理和行为进行欺骗,所以他的成功率会非常高,毕竟每个人都可能犯错,人才是安全防护措施中最脆弱的那环。尽管受害者通常会怀疑邮件或电话的真实性,但是由于攻击者精心设计了攻击流程,所以往往人们会作出错误的判断和处置。
事实上,很多安全事件都不是因为网络防护被攻破,攻击者通常会优先选择对人实施社会工程攻击,这可比攻击专业的网络安全系统容易得多。这也是为什么我们必须专注于以人为中心的网络安全意识培训,让他们保持对社会工程手段的充分了解,避免堡垒从内部被攻破。
社会工程是如何实施的
为了取得受害者的信任,攻击者通常会按照一定的流程来设计社会工程步骤。
社会工程的常见类型
网络钓鱼(Phishing)
网络钓鱼是最常见的社会工程攻击类型。攻击者通过电子邮件、语音通话、即时聊天、网络广告或虚假网站等形式,窃取机密的个人信息或公司信息。
首先,网络钓鱼之所以能够成功,通常是因为攻击者准备的虚假信息和欺骗手段高度仿真,这使得受害者很容易忽视相关操作的危险性,大大提高了社会工程的成功率。其次,网络钓鱼一般会让受害者感受到紧迫、恐惧或好奇,这使得受害者短时间内只专注于攻击者编造的信息,无暇仔细分辨信息的真假。
举一个例子:
受害者收到一封银行发送的电子邮件,声称其账户存在风险,需要提供诸如姓名、身份证号、手机号、银行卡号、银行卡密码等信息,然后银行方可帮助他恢复安全状态。实际上这根本不是银行发的邮件,而是攻击者发送的钓鱼邮件。如果攻击者“敬业”一点,他还会搭建一个足以以假乱真的银行网站,让受害者登录该网站进行一些操作,然后从中获取受害者的关键个人信息。受害者由于担心自己个人财产收到危害,所以不会仔细去分辨邮件信息和网站的真假,这就落入了陷阱。
鱼叉式网络钓鱼(Spear Phishing)
鱼叉式网络钓鱼实际上就是一种更有针对性的网络钓鱼。相对而言,普通的网络钓鱼随机性更大,攻击者并不聚焦于具体的受害者,而是广泛散播有害信息。而鱼叉式网络钓鱼会选择具体的受害者,例如企业高管或网络管理员,通过对受害者的特征、工作职位和联系人等信息进行详细了解,制定一份可信度非常高的钓鱼方案,提高社会工程的成功率。
举一个例子:
受害者平时喜欢浏览汽车相关的网站,有一天他收到一封邮件,发件人“似乎”是平时经常浏览的网站之一。邮件内容是关于某款最新车型的测评文章,且提供了更详细内容的网站链接。受害者对此非常感兴趣,基本上就会点击这个链接,也就落入了攻击者的陷阱。
诱饵(Baiting)
顾名思义,这种社会工程方式是利用人们对某种奖励的渴望,引诱人们落入陷阱。诱饵与网络钓鱼在很多方面有相似性,但是区别在于诱饵更强调对受害者的“奖励”,所以受害者往往会因为利益的原因而落入攻击者的陷阱。
诱饵既可以是物理的,也可以是虚拟的(毕竟现在是数字时代)。
物理诱饵大都以存储介质的形态进行传播,我们拿U盘来举例。例如参加活动时的免费赠品,一般人都会认为这是个空的U盘,攻击者正是利用这个心理事先预置了恶意程序,一旦受害者插上U盘即会被感染。还有一种更戏剧性的传播方式,那就是假装U盘被遗落在某个很显眼的地点(例如公司大厅或洗手间),而且上面还带着引人注目的标签(例如工资明细)。相信我,很多人都会感兴趣想偷偷看一眼的,殊不知攻击者也在偷偷看着他。
虚拟诱饵就简单多了,只需设计好吸引人的外观,例如免费礼品的网站链接或者某个吸引人的活动链接,自然有很多人会感兴趣去点击链接的,恶意程序也就趁此侵入受害者的系统。
水坑(Watering Hole)
水坑的名称来源于自然界的捕食方式,即很多捕食者会守候在水源旁边,伏击来饮水的其他动物,提高捕食的成功率。
攻击者会通过前期的调查,确定受害者(往往是一个特定群体)经常访问的一些网站,并在网站上部署恶意程序,当受害者访问网站时即会被感染。事实上,很多大型网站都会非常注意网络安全,防止自己被攻击者利用,这将导致用户对自己不信任,继而影响网站的声誉。所以,很多攻击者都会选择一些中小型网站,或者技术和资金并不雄厚的网站,这也提醒大家在访问此类网站时要格外小心。
语音网络钓鱼(Vishing)和短信网络钓鱼(Smishing)
语音网络钓鱼和短信网络钓鱼可以算是网络钓鱼的两种方式,前者通过电话实施社会工程,后者通过短信。这两种方式显然针对的是更老派的受害者,他们不怎么使用网络,也看不懂那些“精美的”骗术,这让攻击者有种无力感。
针对这类人群,攻击者采用了更传统的骗术,即通过电话或短信来使受害者落入陷阱。攻击者大都使用机器人来实施欺骗过程,当前高水平的机器人几乎可以代替真人来完成交流,这大大提高了攻击者的效率。
伪装(Pretexting)
伪装这种方式主要是利用虚假的身份来欺骗受害者。攻击者通常会假装成处于强大地位的人,迫使受害者按照他的指示来提供重要信息。
举一个例子:
攻击者冒充有执法权的官员,先取得 受害者的信任,然后要求受害者 提供一些个人信息来证实自己的身份。最终将从受害者处获得所需的信息,并使用这些信息进行身份盗窃或发动二次攻击。
交换条件(Quid Pro Quo)
交换条件是指攻击者依靠信息或服务的交易,促使受害者配合自己的要求,进而获得重要的个人信息。与诱饵类似,交换条件也声称会为受害者带来好处,这种好处通常采取服务的形式,而诱饵通常采取实物的形式。
举一个例子:
攻击者冒充IT支持人员打电话给受害者,宣称可以提供技术支持或软件升级,需要受害者提供自己的账号信息,以获得临时权限。一旦受害者提供了此类信息,攻击者即可利用这些信息完成相关攻击或信息盗取。
恶意软件(Malware)
这种方式是令受害者相信其计算机中已被安装恶意软件,只有按照攻击者的要求去做,才能删除这些恶意软件。
通常攻击者会要求受害者支付一定的金额,然后再解除恶意软件。实际上就算受害者按照攻击者要求去做,攻击者也不会放过这个好机会,他们 会趁此过程获取个人关键信息,甚至于真的安装上一个恶意软件 。
尾随(Tailgating)和背靠背(Piggybacking attacks)
尾随也可以称为背靠背,这种方式是指没有授权的人借助其他人的授权,进入受限的区域或系统。
举几个常见的例子:
如何防范社会工程
要防范社会工程,首先要引导人们改变一些固有行为和意识。当大家都明白社会工程是如何开展的,基于此产生的攻击后果有多么严重,那么人们就会在查阅电子邮件、语音信箱、短信或中小网站时保持一定的警惕和怀疑。
然而,改变固有行为和意识并非一朝一夕的事,我们首先需要经常宣传网络安全常识,并通过实例来加深人们印象。下面就是关于这方面的一些建议:
华为如何帮助您免遭社会工程的危害
一般来讲,普通人能遇到的社会工程类型主要是钓鱼邮件、鱼叉式网络钓鱼、水坑和诱饵。通过使用华为提供的安全设备和解决方案,您可以规避其中大部分社会工程攻击,降低可能产生的损失和风险。
发表评论