正文

【霄享·安全】欺骗的艺术:社会工程学——2023年9月刊(总第43期)

admin
admin V管理员 /0 评论 /196 阅读
1012
此篇文章发布距今已超过394天,您需要注意文章的内容或图片是否可用!





点击蓝字 关注我们


世界头号黑客凯文·米特尼克在《欺骗的艺术》中曾提到,社会工程学是一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行的诸如欺骗、伤害等危害手段。


信息安全中,人的因素是极不稳定和十分脆弱的环节。


在网络发达的当今社会,社会工程学的影响犹在,臭名昭著的电信诈骗便是其经典案例。究其为何,社会工程学能造成如此大的破坏力?



社会工程学 攻击过程


社会工程学攻击的目标通常是企业或个人。社会工程学攻击通常对被攻击者(企业或个人)使用的姓名、生日、电话号码、管理员的IP地址、邮箱、工号、企业邮箱等进行信息收集。通过这些收集到的信息来判断目标的网络架构或系统密码的大致内容,从而获取情报。


具体攻击过程如下图:

举一个简单的社会工程案例

● 第一步:前期准备

攻击者通过社交网络知道了张三在A单位作为IT工程师,有权限访问A单位重要系统。


同时攻击者进行了简单的在线调查,评估张三的同事李四在公司内部社交活动范围较小,存在感较低,不容易被发现身份冒充。

 ● 第二步:攻击前三个星期

为了使冒充身份看起来更合理,攻击者伪造了一个与李四微信相同头像、签名的微信,并与A单位工作人员建立了联系。

 ● 第三步:攻击前一个星期

攻击者使用恶意黑客工具创建了一个PDF文件,文件中嵌入密钥记录器与木马病毒,PDF文件命名为“邮件系统使用手册.PDF”。

 ● 第四步:开始攻击

攻击者利用李四的员工身份,与张三进行交谈。

攻击者

你好,张老师。我是**部门的李四,我的邮件系统出现了问题,可以帮我看下吗?

没问题,能告诉我发生了什么吗?

攻击者

之前我都是参照公司的邮件系统使用手册来进行操作的,能帮我看下是使用手册有哪个步骤不对吗?

● 结果

张三接收下载了攻击者发送的“邮件系统使用手册.PDF”,在不知不觉中启动了恶意软件。攻击者得以进入目标系统,收集信息。等到成千上万的数据在黑市上售卖,A单位才发现此次数据泄漏事故。




社会工程 攻击方法介绍

(常见的社会工程学攻击类型)





01

引诱

 网上冲浪经常碰到中奖、免费赠送等内容的「邮件」或「网页」,诱导用户进入该页面进行程序下载、或填写账户的口令以便“验证”身份。


此种方式利用人们疏于防范的心理引诱用户,这通常是社会工程学使用者早已设好的圈套。





02

伪装 

目前流行的网络「钓鱼」事件通常以求职信、圣诞节贺卡、采购需求、公司裁员信息、公司任命信息、中奖信息等形式发生,都是利用电子邮件和伪造的Web站点来进行诈钓鱼活动。





03

说服-利诱

说服是对信息安全危害较大的一种社会工程学利用方式,通过利益诱惑或非利益诱惑的方式说服目标内部人员与攻击者达成一致目标,为攻击者提供某种便利,即「内鬼」。





04

恐吓

社会工程学精通者常常利用人们对安全、漏洞、病毒、木马、黑客、信息泄露、内网入侵、命令执行等敏感的关键词语,以「权威机构」的身份出现,散布安全警告、系统风险之类的信息,恐吓欺骗目标,并声称如果不按照他们的要求去做,就会造成非常严重的危害或损失。





05

反向社会工程

反向社会工程学是指攻击者通过技术或非技术的手段给个人或企业制造问题,让被攻击者相信攻击者能帮助解决问题,被攻击者主动向攻击者提供攻击条件或信息。这种方法比较隐蔽,很难发现,危害较大且不易防范。



社会工程学攻击的危害和后果


社会工程学是一门复杂的技术,利用受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段。


社会工程学一般是通过交谈、欺骗等手法来得到一些有用的信息。攻击者往往在进行社会工程学之前都会做好十足的准备,所以社会工程学都会让人防不胜防。


常见的危害有以下几种:

1、 企业数据或个人信息泄露威胁

2、 企业内网被控制

3、 企业员工或个人遭遇精准诈骗,对经济造成损失


防范社会工程学攻击的方法和策略


1、破除权威枷锁、传统枷锁的束缚,不迷信权威和传统规律;

2、预防指向性暗示,面对诱惑保持冷静;

3、提高警惕性,增强安全防范意识、制定易被利用环节可能性预案,以便及早识别攻击、分割关键工作,使风险在某一环节无法延续、或借助第三方工具减少风险;

4、向员工进行普及教育,包括新员工、打扫清洁的阿姨等;

5、关键操作时严格认证身份信息,防止假冒身份;

6、严格授权,授权要细化、最小化;信息分类;办公垃圾清理使用碎纸机等。多了解一些社会工程学的手法,保持理性,保持怀疑的心,不乱丢带有个人信息的垃圾等。




社会工程就是利用人的薄弱点,通过欺骗手段而入侵计算机系统的一种攻击方法。很多企业在信息安全上投入了大量资金和人力,最后仍然面临数据泄露问题,其原因却在人本身。


通俗的讲,即攻击者利用“人”自身的弱点(往往是心理学层面)来获取信息、影响他人,从而达到自己不可告人的目的。


当谈到信息安全时,我们不能忽视人的因素。社会工程攻击正是利用了人的心理弱点,通过欺骗手段来入侵计算机系统。即使企业在信息安全方面投入了大量资金和人力,最终也可能面临数据泄露,原因往往在于人本身。


这时候,安全意识培训服务的重要性得以凸显。通过安全意识培训,可以帮助企业员工了解和识别更多潜在的社会工程攻击,提高员工在面对这些威胁时的警惕性。



帆一尚行是上汽集团为数字化转型而设立的创新平台,以“消融产业边界,释放数据价值”为己任,聚焦安全云、自动驾驶云、智能制造及产业互联网技术领域,赋能行业数字化转型,加速产业数字化、数字产业化进程,积极推动社会数字经济发展。作为一家深耕汽车行业云计算,同时发展多元化业务的科技公司,帆一尚行为企业、开发者和政府机构等提供安全、可靠的数据计算与处理能力、专属云产品与服务。


网络安全意识培训服务是以提高组织或公司内部员工、用户、利益相关者对网络安全问题的认识和警惕性为目的的一种培训服务。

 

服务内容主要包括:基础网络安全知识、社会工程和钓鱼攻击识别、安全密码实践、危机管理和应对等。培训旨在帮助个人识别和应对网络威胁、恶意行为和潜在的安全风险,降低遭受网络攻击和数据泄露的风险。




本期专家介绍

刘宇凡


帆一尚行科技有限公司渗透测试工程师


多年网络安全经验(应用安全,渗透测试,信息安全,安全平台运营)


部分内容与图片源自网络,如有侵权请与我们联系删除。



点击下方名片,关注我们


觉得内容不错,就点下“赞”“在看”

如果不想错过新的内容推送,可以设为星标🌟哦



推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
宙飒天下网