本站点使用Cookies,继续浏览表示您同意我们使用Cookies。 Cookies和隐私政策>

首页 信息速查 百科 在线课堂 智能问答

什么是社会工程?

广义上的社会工程(Social Engineering)是一门学科,而我们平常提到“社会工程”时多指网络安全方面的技术,本文也是对这方面的内容进行介绍 社会工程通过欺骗或诱导受害者犯错,获取重要的私人信息、系统访问权、重要数据和虚拟财产等。攻击者可以利用获取到的社会工程信息进行二次攻击,或者直接出售给他人以获利。
从技术层面讲,社会工程并不是一种攻击技术,它更像是一种“骗术”,只不过是适应了数字时代的新骗术。基于社会工程的骗局通常是围绕人们的思维和行为来设计的,因此社会工程攻击对于操纵用户的行为特别有用。一旦攻击者了解了用户做某个行为的动机,他们就可以有针对性地去设计骗局,欺骗和操纵用户。

为什么社会工程如此危险

由于社会工程主要针对人们的心理和行为进行欺骗,所以他的成功率会非常高,毕竟每个人都可能犯错,人才是安全防护措施中最脆弱的那环。尽管受害者通常会怀疑邮件或电话的真实性,但是由于攻击者精心设计了攻击流程,所以往往人们会作出错误的判断和处置。

事实上,很多安全事件都不是因为网络防护被攻破,攻击者通常会优先选择对人实施社会工程攻击,这可比攻击专业的网络安全系统容易得多。这也是为什么我们必须专注于以人为中心的网络安全意识培训,让他们保持对社会工程手段的充分了解,避免堡垒从内部被攻破。

社会工程是如何实施的

为了取得受害者的信任,攻击者通常会按照一定的流程来设计社会工程步骤。

  • 准备阶段:通过收集受害者的背景信息为社会工程做准备,此阶段主要是识别受害者,并确定最佳的社会工程攻击方法。
  • 渗透阶段:攻击者开始与受害者接触,并通过一定形式的信息交互来建立信任,实现渗透的目的。
  • 攻击阶段:攻击者开始利用工具收集受害者的目标数据,并可能应用获取到的信息发动新的攻击。
  • 撤退阶段:当攻击者达到自己的目的后,他们将尽量抹去所有犯罪痕迹,有时受害者甚至都没有察觉已经被侵害。

社会工程的常见类型

网络钓鱼(Phishing)

网络钓鱼是最常见的社会工程攻击类型。攻击者通过电子邮件、语音通话、即时聊天、网络广告或虚假网站等形式,窃取机密的个人信息或公司信息。

首先,网络钓鱼之所以能够成功,通常是因为攻击者准备的虚假信息和欺骗手段高度仿真,这使得受害者很容易忽视相关操作的危险性,大大提高了社会工程的成功率。其次,网络钓鱼一般会让受害者感受到紧迫、恐惧或好奇,这使得受害者短时间内只专注于攻击者编造的信息,无暇仔细分辨信息的真假。

举一个例子:

受害者收到一封银行发送的电子邮件,声称其账户存在风险,需要提供诸如姓名、身份证号、手机号、银行卡号、银行卡密码等信息,然后银行方可帮助他恢复安全状态。实际上这根本不是银行发的邮件,而是攻击者发送的钓鱼邮件。如果攻击者“敬业”一点,他还会搭建一个足以以假乱真的银行网站,让受害者登录该网站进行一些操作,然后从中获取受害者的关键个人信息。受害者由于担心自己个人财产收到危害,所以不会仔细去分辨邮件信息和网站的真假,这就落入了陷阱。

鱼叉式网络钓鱼(Spear Phishing)

鱼叉式网络钓鱼实际上就是一种更有针对性的网络钓鱼。相对而言,普通的网络钓鱼随机性更大,攻击者并不聚焦于具体的受害者,而是广泛散播有害信息。而鱼叉式网络钓鱼会选择具体的受害者,例如企业高管或网络管理员,通过对受害者的特征、工作职位和联系人等信息进行详细了解,制定一份可信度非常高的钓鱼方案,提高社会工程的成功率。

举一个例子:

受害者平时喜欢浏览汽车相关的网站,有一天他收到一封邮件,发件人“似乎”是平时经常浏览的网站之一。邮件内容是关于某款最新车型的测评文章,且提供了更详细内容的网站链接。受害者对此非常感兴趣,基本上就会点击这个链接,也就落入了攻击者的陷阱。

诱饵(Baiting)

顾名思义,这种社会工程方式是利用人们对某种奖励的渴望,引诱人们落入陷阱。诱饵与网络钓鱼在很多方面有相似性,但是区别在于诱饵更强调对受害者的“奖励”,所以受害者往往会因为利益的原因而落入攻击者的陷阱。

诱饵既可以是物理的,也可以是虚拟的(毕竟现在是数字时代)。

物理诱饵大都以存储介质的形态进行传播,我们拿U盘来举例。例如参加活动时的免费赠品,一般人都会认为这是个空的U盘,攻击者正是利用这个心理事先预置了恶意程序,一旦受害者插上U盘即会被感染。还有一种更戏剧性的传播方式,那就是假装U盘被遗落在某个很显眼的地点(例如公司大厅或洗手间),而且上面还带着引人注目的标签(例如工资明细)。相信我,很多人都会感兴趣想偷偷看一眼的,殊不知攻击者也在偷偷看着他。

虚拟诱饵就简单多了,只需设计好吸引人的外观,例如免费礼品的网站链接或者某个吸引人的活动链接,自然有很多人会感兴趣去点击链接的,恶意程序也就趁此侵入受害者的系统。

水坑(Watering Hole)

水坑的名称来源于自然界的捕食方式,即很多捕食者会守候在水源旁边,伏击来饮水的其他动物,提高捕食的成功率。

攻击者会通过前期的调查,确定受害者(往往是一个特定群体)经常访问的一些网站,并在网站上部署恶意程序,当受害者访问网站时即会被感染。事实上,很多大型网站都会非常注意网络安全,防止自己被攻击者利用,这将导致用户对自己不信任,继而影响网站的声誉。所以,很多攻击者都会选择一些中小型网站,或者技术和资金并不雄厚的网站,这也提醒大家在访问此类网站时要格外小心。

语音网络钓鱼(Vishing)和短信网络钓鱼(Smishing)

语音网络钓鱼和短信网络钓鱼可以算是网络钓鱼的两种方式,前者通过电话实施社会工程,后者通过短信。这两种方式显然针对的是更老派的受害者,他们不怎么使用网络,也看不懂那些“精美的”骗术,这让攻击者有种无力感。

针对这类人群,攻击者采用了更传统的骗术,即通过电话或短信来使受害者落入陷阱。攻击者大都使用机器人来实施欺骗过程,当前高水平的机器人几乎可以代替真人来完成交流,这大大提高了攻击者的效率。

伪装(Pretexting)

伪装这种方式主要是利用虚假的身份来欺骗受害者。攻击者通常会假装成处于强大地位的人,迫使受害者按照他的指示来提供重要信息。

举一个例子:

攻击者冒充有执法权的官员,先取得 受害者的信任,然后要求受害者 提供一些个人信息来证实自己的身份。最终将从受害者处获得所需的信息,并使用这些信息进行身份盗窃或发动二次攻击。

交换条件(Quid Pro Quo)

交换条件是指攻击者依靠信息或服务的交易,促使受害者配合自己的要求,进而获得重要的个人信息。与诱饵类似,交换条件也声称会为受害者带来好处,这种好处通常采取服务的形式,而诱饵通常采取实物的形式。

举一个例子:

攻击者冒充IT支持人员打电话给受害者,宣称可以提供技术支持或软件升级,需要受害者提供自己的账号信息,以获得临时权限。一旦受害者提供了此类信息,攻击者即可利用这些信息完成相关攻击或信息盗取。

恶意软件(Malware)

这种方式是令受害者相信其计算机中已被安装恶意软件,只有按照攻击者的要求去做,才能删除这些恶意软件。

通常攻击者会要求受害者支付一定的金额,然后再解除恶意软件。实际上就算受害者按照攻击者要求去做,攻击者也不会放过这个好机会,他们 会趁此过程获取个人关键信息,甚至于真的安装上一个恶意软件 。

尾随(Tailgating)和背靠背(Piggybacking attacks)

尾随也可以称为背靠背,这种方式是指没有授权的人借助其他人的授权,进入受限的区域或系统。

举几个常见的例子:

  • 攻击者紧跟在受害者身后,在受害者进入到某个区域后,快速跟进到该区域内。
  • 攻击者假装成忘带身份证明的员工,并请其他员工或把守门禁的人帮其开门。
  • 攻击者假装借用受害者的电脑,然后迅速安装上恶意软件。

如何防范社会工程

要防范社会工程,首先要引导人们改变一些固有行为和意识。当大家都明白社会工程是如何开展的,基于此产生的攻击后果有多么严重,那么人们就会在查阅电子邮件、语音信箱、短信或中小网站时保持一定的警惕和怀疑。

然而,改变固有行为和意识并非一朝一夕的事,我们首先需要经常宣传网络安全常识,并通过实例来加深人们印象。下面就是关于这方面的一些建议:

  • 加强网络安全意识培训,降低人为因素的风险。可以利用一些工具和网站实现模拟社会工程,以此来锻炼人们的防骗能力。
  • 宣传真实的案例来加深人们的印象,尤其是同事或朋友这种比较亲密的关系,会让人们感受到这不是遥不可及的事件。
  • 加强网络安全建设,使用多因素身份验证,提高应用程序的帐户安全性。因为很多社会工程的首要目的就是获取账户权限。
  • 保持各种软件和系统的实时更新,定期扫描系统以查找可能受到威胁的主机。
  • 个人在设置密码和账户权限时,要避免使用可能公开获取到的信息,例如生日、生活的城市、宠物名字等。

华为如何帮助您免遭社会工程的危害

一般来讲,普通人能遇到的社会工程类型主要是钓鱼邮件、鱼叉式网络钓鱼、水坑和诱饵。通过使用华为提供的安全设备和解决方案,您可以规避其中大部分社会工程攻击,降低可能产生的损失和风险。

  • HiSec安全解决方案

    HiSec安全解决方案让威胁检测、威胁处置及安全运维更为智能,提高了威胁抵御能力和安全运维效率。其中,零信任解决方案可以很好地解决用户权限被盗用的问题,通过用户行为分析和用户信用评分等手段,可以及时发现有风险的账户,并终止其相关权限。

  • HiSec Insight高级威胁分析系统

    HiSec Insight支持多种高级安全检测技术,如异常域名检测、邮件异常检测、用户可信检测、全网威胁态势分析等,可以实时发现各类安全威胁事件,并还原出整个APT攻击链。

  • FireHunter6000沙箱

    FireHunter还原网络流量中的文件,并在虚拟环境中进行分析,实现对未知恶意文件的检测与防御。

  • USG6000E防火墙

    USG6000E支持多种内容安全相关功能,如IPS、AV、URL过滤、内容过滤等,可以有效识别出恶意文件和恶意网站等。

词条统计
  • 作者: 闫广辉
  • 最近更新: 2021-10-09
  • 浏览次数: 712
  • 平均得分: