網(wǎng)絡(luò)安全知識:什么是社會工程學(xué)
什么是社會工程學(xué)?
網(wǎng)絡(luò)安全策略的最大弱點是人類,而社會工程利用了目標用戶無法檢測到攻擊的優(yōu)勢。在社會工程威脅中,攻擊者使用人類情感(通常是恐懼和緊迫感)來誘騙目標執(zhí)行操作,例如向攻擊者匯款、泄露敏感的客戶信息或泄露身份驗證憑據(jù)。
社會工程學(xué)史
誘騙用戶泄露敏感信息在網(wǎng)絡(luò)安全領(lǐng)域并不是什么新鮮事。唯一改變的是攻擊方法、用于獲取信息的故事以及來自有組織的團體的復(fù)雜攻擊,其中包括其他威脅,例如網(wǎng)絡(luò)釣魚。社會工程一詞于 1894 年由荷蘭實業(yè)家 JC Van Marken 首次使用,但自 1990 年代以來它一直是網(wǎng)絡(luò)攻擊的一種方法。
在 1990 年代,社會工程涉及呼叫用戶以誘騙他們泄露其憑據(jù)或提供將威脅參與者連接到內(nèi)部公司服務(wù)器的撥入固定電話號碼?,F(xiàn)在,攻擊者使用社會工程學(xué)誘騙目標用戶向離岸銀行賬戶發(fā)送數(shù)百萬美元,從而使組織蒙受數(shù)百萬美元的損失。在某些情況下,員工在后果和損害后失去工作。
社會工程攻擊的特征
社會工程和網(wǎng)絡(luò)釣魚之間的界限很模糊,因為它們通常在復(fù)雜的攻擊中齊頭并進。社會工程通常涉及偽裝成合法員工(例如,CFO 或 CEO)或誘使員工認為攻擊者是合法客戶,以試圖讓員工向攻擊者提供敏感信息或更改帳戶功能(例如,SIM 交換)。
不管攻擊者的目標是什么,都有一些明顯的跡象表明通信來自社會工程。社會工程學(xué)的一個主要組成部分是利用目標用戶的恐懼和情緒。攻擊者不希望目標用戶消化和考慮請求,因此社會工程涉及使用恐懼和緊迫感。
所有社會工程攻擊的一些共同特征是:
·情緒高漲:攻擊者威脅要丟失賬戶以誘騙用戶提供憑據(jù),或者攻擊者可能會假裝是高管,向目標用戶索要錢財,以向害怕失去工作的員工灌輸緊迫感。
·欺騙發(fā)件人地址:大多數(shù)用戶不知道發(fā)件人電子郵件地址可能會被欺騙,但適當?shù)碾娮余]件安全措施將阻止欺騙發(fā)件人訪問目標用戶的收件箱。相反,攻擊者將注冊一個類似于官方域的域,并希望目標用戶不會注意到拼寫錯誤。
·奇怪的好友請求:攻擊者破壞電子郵件帳戶并向受害者的聯(lián)系人列表發(fā)送垃圾郵件的情況并不少見。消息通常很短,沒有來自朋友的個性化元素,因此如果消息聽起來不像個性化的交流,請不要點擊來自朋友的鏈接。
·不專業(yè)的網(wǎng)站鏈接:網(wǎng)絡(luò)釣魚鏈接有時與社交工程一起使用,以誘騙用戶泄露敏感信息。切勿將憑據(jù)直接從電子郵件鏈接輸入網(wǎng)站,即使它看起來像官方網(wǎng)站(例如PayPal)。
·好得令人難以置信:詐騙者經(jīng)常承諾金錢以換取金錢補償。例如,目標用戶可以通過支付運費獲得免費 iPhone。如果報價好得令人難以置信,那么它可能是一個騙局。
·惡意附件:復(fù)雜的攻擊可能不會誘使目標用戶泄露私人信息,而是使用電子郵件附件在公司機器上安裝惡意軟件。切勿通過看似無害的電子郵件在機器上運行宏或可執(zhí)行文件。
·拒絕回答問題:如果郵件看起來可疑,請回復(fù)郵件并要求發(fā)件人表明自己的身份。攻擊者將避免識別自己,并且可能只是忽略該請求。
社會工程技術(shù)
社會工程中使用的總體技術(shù)是使用情緒來欺騙用戶,但攻擊者使用幾種標準方法來推動用戶執(zhí)行操作(例如,向銀行賬戶匯款)并使攻擊看起來更合法。通常,這些技術(shù)涉及電子郵件或短信,因為它們可以在沒有語音對話的情況下使用。
一些常見的技術(shù)包括:
·網(wǎng)絡(luò)釣魚:通過社會工程學(xué),攻擊者通常會偽裝成公司高管,誘騙用戶向離岸銀行賬戶匯款。
·Vishing 和 smishing:攻擊者使用短信和語音更改軟件來發(fā)送 SMS 消息或機器人呼叫用戶。這些消息通常承諾提供禮物或服務(wù)以換取付款。這些類型的詐騙稱為網(wǎng)絡(luò)釣魚(語音網(wǎng)絡(luò)釣魚)和網(wǎng)絡(luò)釣魚(短信網(wǎng)絡(luò)釣魚)。
·CEO(高管)欺詐:當高管要求采取行動時,用戶通常會感到緊迫感,因此攻擊者會偽裝成 CEO 或其他高管,以灌輸目標員工執(zhí)行行動的緊迫感。這被稱為CEO 欺詐。
·誘餌:攻擊者承諾提供獎品或金錢以換取小額付款是很常見的。報價通常好得令人難以置信,并且付款通常用于運費或其他一些費用范圍。
·尾隨或捎帶:使用安全掃描儀阻止未經(jīng)授權(quán)訪問場所的公司。攻擊者使用尾隨或捎帶來誘騙用戶使用自己的訪問卡,從而使攻擊者可以物理訪問場所。
·交換條件:心懷不滿的員工可能會被誘騙向攻擊者提供敏感信息,以換取金錢或其他承諾。
社會工程攻擊的例子
要識別社會工程攻擊,了解它的外觀很重要。社會工程攻擊利用目標受害者的情緒,但無論威脅行為者的目標如何,它們都有一些共同點。攻擊者的目標通常圍繞著誘騙用戶匯款,但有些人想誘騙用戶匯款。
一些常見的社會工程場景包括:
·誘餌:攻擊者提供“棍子上的胡蘿卜”,受害者必須付錢才能獲得大筆支出。支付可能是彩票獎金或免費獎品,以換取少量運費。攻擊者還可能要求為不存在的活動提供慈善捐款。
·回答從未問過的問題:目標受害者將收到一封“回復(fù)”問題的電子郵件,但回復(fù)將要求提供個人詳細信息、包含指向惡意網(wǎng)站的鏈接或包含惡意軟件附件。
·威脅損失金錢或賬戶,或威脅起訴:恐懼是社交工程中的有用工具,因此欺騙用戶的有效方法是告訴他們?nèi)绻蛔袷毓粽叩囊?,他們將遭受金錢損失或入獄.
·CEO 欺詐:攻擊者冒充老板或高管,向目標受害者傳達一種緊迫感,說服他們向銀行賬戶匯款。
如何不成為社會工程的受害者
緊迫感使許多有意的受害者望而卻步,但受過教育的用戶可以采取必要的措施來避免成為受害者,但要遵守一些規(guī)則。在通過電話進行交流時,放慢速度并驗證電子郵件發(fā)件人的身份或提出問題非常重要。需要遵守的幾條規(guī)則:
·回應(yīng)前研究:如果騙局很普遍,你會發(fā)現(xiàn)其他人在網(wǎng)上談?wù)撋鐣こ谭椒ā?/span>
·不要通過鏈接與網(wǎng)頁交互:如果電子郵件發(fā)件人聲稱來自官方企業(yè),請不要單擊鏈接并進行身份驗證。相反,在瀏覽器中輸入官方域。
·注意朋友的奇怪行為:攻擊者使用被盜的電子郵件帳戶來欺騙用戶,因此如果朋友發(fā)送的電子郵件中包含指向網(wǎng)站鏈接且?guī)缀鯖]有其他交流的網(wǎng)站,請保持警惕。
·不要下載文件:如果電子郵件要求緊急下載文件,請忽略該請求或?qū)で髱椭源_保該請求是合法的。
基本社會工程統(tǒng)計
社會工程是攻擊者獲取敏感信息的最常見和最有效的方式之一。統(tǒng)計數(shù)據(jù)表明,社會工程與網(wǎng)絡(luò)釣魚相結(jié)合是非常有效的,并且會給組織造成數(shù)百萬美元的損失。
關(guān)于社會工程學(xué)的一些統(tǒng)計數(shù)據(jù)包括:
·社會工程是造成 98% 的攻擊的原因。
·2020 年,75% 的公司報告稱是網(wǎng)絡(luò)釣魚的受害者。
·2020 年最常見的網(wǎng)絡(luò)事件是網(wǎng)絡(luò)釣魚。
·數(shù)據(jù)泄露后的平均成本為每條記錄 150 美元。
·超過 70% 的數(shù)據(jù)泄露始于網(wǎng)絡(luò)釣魚或社會工程。
·谷歌在 2021 年記錄了超過 200 萬個網(wǎng)絡(luò)釣魚網(wǎng)站。
·大約 43% 的網(wǎng)絡(luò)釣魚電子郵件冒充微軟等大型組織。
·60% 的公司在成功進行網(wǎng)絡(luò)釣魚攻擊后報告數(shù)據(jù)丟失,18% 的目標用戶成為網(wǎng)絡(luò)釣魚的受害者。
社會工程預(yù)防
企業(yè)也是社會工程的目標,因此員工必須注意這些跡象并采取必要措施來阻止攻擊。組織有責任對員工進行教育,因此請按照以下步驟為您的員工提供工具,以識別正在進行的社會工程攻擊:
·注意正在發(fā)布的數(shù)據(jù):無論是社交媒體還是電子郵件,員工都應(yīng)該知道數(shù)據(jù)是否敏感并且應(yīng)該保密。
·識別有價值的信息: 個人身份信息 (PII)絕不應(yīng)與第三方共享,但員工應(yīng)該知道哪些數(shù)據(jù)被視為 PII。
·使用政策來教育用戶:制定的政策為用戶提供必要的信息,以對欺詐性請求采取行動并報告正在進行的社會工程攻擊。
·使反惡意軟件保持最新:如果員工下載惡意軟件,反惡意軟件將在大多數(shù)情況下檢測并阻止它。
·對數(shù)據(jù)請求持懷疑態(tài)度:應(yīng)謹慎接收任何數(shù)據(jù)請求。在遵守請求之前提出問題并驗證發(fā)件人的身份。
·培訓(xùn)員工:如果員工沒有接受過幫助他們的教育,他們就無法識別攻擊,因此提供向員工展示社會工程真實示例的培訓(xùn)。
社會工程攻擊在針對人類情緒和錯誤方面非常有效。我們有安全意識培訓(xùn)和教育計劃,幫助員工識別與這些攻擊一起使用的社會工程和網(wǎng)絡(luò)釣魚電子郵件。
我們?yōu)橛脩魷蕚渥顝?fù)雜的攻擊,并為他們提供反應(yīng)所需的工具。使用現(xiàn)實世界的例子,員工將準備好識別社會工程并根據(jù)組織設(shè)定的安全策略做出反應(yīng)。
社會工程常見問題解答
簡單來說什么是社會工程?
大多數(shù)人認為網(wǎng)絡(luò)威脅是惡意軟件或利用軟件漏洞的黑客。然而,社會工程是一種威脅,攻擊者通過偽裝成熟悉的人或服務(wù)來欺騙目標用戶泄露敏感信息。攻擊者可能會誘騙目標用戶泄露他們的密碼,或者攻擊者可以通過偽裝成高級管理人員來誘騙目標用戶匯款。攻擊者在社會工程活動中的目標各不相同,但通常攻擊者想要訪問帳戶或竊取用戶的私人信息。
社會工程學(xué)如何運作?
威脅參與者可能有一個特定的目標,或者攻擊者可以撒網(wǎng)以訪問盡可能多的私人信息。在威脅行為者進行社會工程攻擊之前,他們的第一步是對目標用戶或公司進行盡職調(diào)查。例如,攻擊者可以從組織的 LinkedIn 頁面收集財務(wù)部門工作人員的姓名和電子郵件地址,以識別目標受害者和標準操作程序。
偵察階段對于社會工程攻擊的成功至關(guān)重要。攻擊者必須充分了解企業(yè)的組織結(jié)構(gòu)圖和有權(quán)執(zhí)行成功所需操作的目標。在大多數(shù)攻擊中,社會工程涉及威脅行為者假裝是目標用戶認識的人。威脅參與者收集的有關(guān)目標用戶的信息越多,社交工程攻擊成功的可能性就越大。
收集到足夠的信息后,攻擊者現(xiàn)在可以執(zhí)行后續(xù)步驟。一些社會工程攻擊需要耐心慢慢建立目標用戶的信任。其他攻擊速度很快,威脅參與者通過傳達緊迫感在有限的時間內(nèi)獲得信任。例如,攻擊者可能會呼叫目標用戶并偽裝成 IT 支持人員,以誘騙用戶泄露密碼。
成功的社會工程攻擊的步驟是什么?
就像最有效的網(wǎng)絡(luò)攻擊一樣,社會工程涉及特定的策略。每個步驟都需要徹底,因為攻擊者旨在誘騙用戶執(zhí)行特定操作。社會工程涉及四個步驟。這些步驟是:
-信息收集:第一步對于社會工程的成功至關(guān)重要。攻擊者從新聞剪報、LinkedIn、社交媒體和目標商業(yè)網(wǎng)站等公共來源收集信息。此步驟使攻擊者熟悉業(yè)務(wù)部門和程序的內(nèi)部工作。
-建立信任:此時,攻擊者聯(lián)系目標用戶。此步驟需要對話和說服力,因此攻擊者必須具備處理問題并說服目標用戶執(zhí)行操作的能力。攻擊者必須是友好的,并且可能會嘗試在個人層面上與目標用戶建立聯(lián)系。
-漏洞利用:攻擊者誘騙目標用戶泄露信息后,漏洞利用開始。漏洞利用取決于攻擊者的目標,但這一步是指攻擊者獲取資金、訪問系統(tǒng)、竊取文件或獲取商業(yè)機密。
-執(zhí)行:利用獲得的敏感信息,攻擊者現(xiàn)在可以執(zhí)行最終目標并退出騙局。退出策略包括掩蓋其蹤跡的方法,包括從目標組織的網(wǎng)絡(luò)安全控制中避免檢測,這可能會警告管理員員工剛剛被欺騙。
什么是最常見的社會工程學(xué)形式?
“社會工程”一詞是一個廣義的術(shù)語,涵蓋了許多網(wǎng)絡(luò)犯罪策略。社會工程涉及人為錯誤,因此攻擊者針對內(nèi)部人員。最常見的社會工程形式是網(wǎng)絡(luò)釣魚,它使用電子郵件。網(wǎng)絡(luò)釣魚屬于網(wǎng)絡(luò)釣魚(語音)和網(wǎng)絡(luò)釣魚(短信)。在典型的網(wǎng)絡(luò)釣魚攻擊中,目標是獲取信息以獲取金錢收益或數(shù)據(jù)盜竊。
在網(wǎng)絡(luò)釣魚電子郵件中,攻擊者偽裝成來自合法組織的人或家庭成員。該消息可能要求簡單的回復(fù),或者該消息將包含指向惡意網(wǎng)站的鏈接。網(wǎng)絡(luò)釣魚活動可以針對組織內(nèi)的特定人員 - 魚叉式網(wǎng)絡(luò)釣魚 - 或者攻擊者可以向隨機用戶發(fā)送數(shù)百封電子郵件,希望至少有一封電子郵件屬于欺詐性消息。無針對性的網(wǎng)絡(luò)釣魚活動的成功率較低,但攻擊者不需要很多成功的消息即可獲取必要的信息以獲取金錢利益。
兩種網(wǎng)絡(luò)釣魚變體 - smishing 和 vishing - 與一般網(wǎng)絡(luò)釣魚活動具有相同的目標,但方法不同。“smishing”攻擊使用短信告訴目標用戶他們中獎了,需要支付運費才能收到禮物。“語音”網(wǎng)絡(luò)釣魚需要變音軟件來誘騙用戶認為攻擊者是來自合法組織的人。
百分之多少的黑客使用社會工程學(xué)?
黑客經(jīng)常使用社會工程,因為它有效。社會工程和網(wǎng)絡(luò)釣魚經(jīng)常結(jié)合使用,作為一種更有效的方式來誘騙用戶匯款或泄露他們的敏感信息(例如,網(wǎng)絡(luò)憑證和銀行信息)。事實上,個人和公司收到的大多數(shù)電子郵件都是垃圾郵件或詐騙電子郵件,因此將網(wǎng)絡(luò)安全與任何電子郵件系統(tǒng)集成至關(guān)重要。
據(jù)估計,91% 的網(wǎng)絡(luò)攻擊都是從電子郵件開始的。他們中的許多人利用一種緊迫感,以便目標受害者沒有時間處理這些消息是一個騙局。只有 3% 的攻擊使用惡意軟件,而 97% 的攻擊來自社會工程。在一些復(fù)雜的攻擊中,目標受害者會收到一封電子郵件,然后是后續(xù)電話或消息。
社會工程違法嗎?
社會工程確實是一種犯罪,因為它使用欺騙手段誘騙目標受害者泄露敏感信息。典型的后果會導(dǎo)致以欺詐方式訪問私人網(wǎng)絡(luò)、竊取資金或用戶身份,然后在暗網(wǎng)市場上出售私人數(shù)據(jù)等形式的額外犯罪。
消費者欺詐在社會工程攻擊中很常見。攻擊者偽裝成合法組織,贈送獎金以換取財務(wù)數(shù)據(jù)或小額付款。在目標受害者提供財務(wù)數(shù)據(jù)后,攻擊者直接從銀行賬戶中竊取資金或在暗網(wǎng)市場上出售信用卡號。身份盜竊和從目標受害者那里偷錢是嚴重的罪行。
一些社會工程被歸類為輕罪,只會處以罰款和短期監(jiān)禁。如果犯罪涉及更大的金錢數(shù)額或針對多名受害者,他們可以處以更高的刑罰和更高的罰款。一些犯罪導(dǎo)致民事訴訟,受害者贏得對犯罪分子和參與幫助社會工程詐騙的人的判決。
社會工程學(xué)有多普遍?
視情況而定,但據(jù)估計,95%-98% 的針對個人和公司的針對性攻擊都使用了社會工程學(xué)。高權(quán)限帳戶是一個常見的目標,IT 運營中 43% 的管理員報告說他們是社會工程攻擊的目標。IT 運營部門的新員工更有可能成為目標。公司表示,60% 的新員工是目標,而不是長期的現(xiàn)有員工。
由于社會工程如此成功,近年來基于網(wǎng)絡(luò)釣魚和身份盜竊的攻擊增加了 500%。身份盜竊并不是攻擊者的唯一目標。社會工程是主要攻擊媒介的其他一些原因包括:
- 用于數(shù)據(jù)或貨幣盜竊的欺詐性帳戶訪問
- 對銀行或信用卡帳戶的財務(wù)訪問
- 簡單的滋擾原因
社會工程合乎道德嗎?
社會工程是一種犯罪行為,因此惡意威脅在針對個人和公司時不會考慮道德。每個人都是攻擊者的目標,因此個人和員工都應(yīng)該了解社會工程是如何進行的。攻擊者必須在進行社會工程活動之前了解他們的目標并進行偵察,因此用戶還應(yīng)該了解社會工程的工作方式。
表明您是社會工程目標的第一個危險信號是呼叫者或電子郵件發(fā)件人不會回答任何問題,并阻止您提出問題以澄清他們?yōu)槭裁从芯o急請求。他們的要求可能看起來很微妙,但他們要求提供敏感信息而不回答您的任何問題。在合法的金融交易中,組織或銀行會根據(jù)需要回答盡可能多的問題,直到您對他們需要您采取的行動感到滿意為止。
另一個不道德的危險信號是大多數(shù)攻擊者使用沒有語音對話的網(wǎng)絡(luò)釣魚。如果您要求與請求者進行語音對話,攻擊者將拒絕。這個危險信號并非總是如此,但它應(yīng)該告訴您電子郵件發(fā)件人不是來自合法組織。在任何情況下,您都應(yīng)該掛斷或停止與電子郵件發(fā)件人的聯(lián)系,直接撥打公司網(wǎng)站上的電話號碼。
一些社會工程學(xué)是合乎道德的。當您聘請白帽黑客對網(wǎng)絡(luò)安全進行滲透測試時,他們將測試所有員工檢測社會工程攻擊的能力。在滲透測試中,經(jīng)過認證的道德黑客會打電話給員工,以確定他們是否會泄露其網(wǎng)絡(luò)憑據(jù)或發(fā)送帶有指向惡意網(wǎng)站的鏈接的網(wǎng)絡(luò)釣魚電子郵件。他們會記錄每個單擊該鏈接的用戶,并記錄輸入其專用網(wǎng)絡(luò)憑據(jù)的用戶。此活動可幫助組織確定易受社會工程攻擊的員工,并為他們提供有關(guān)網(wǎng)絡(luò)安全協(xié)議的更多教育。
社會工程攻擊的成本是多少?
根據(jù)美國聯(lián)邦調(diào)查局的數(shù)據(jù),社會工程在全球范圍內(nèi)給組織造成了 16 億美元的損失。組織平均每年為網(wǎng)絡(luò)安全犯罪支付 1170 萬美元。
成本的一個重要組成部分是組織檢測數(shù)據(jù)泄露所需的時間,平均為 146 天。在社會工程攻擊中,管理員和網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施很難確定員工何時成為攻擊的受害者。任何具有合法訪問權(quán)限的員工在參與社會工程活動并安裝惡意軟件、向攻擊者提供憑據(jù)或泄露敏感信息時,都可能使環(huán)境容易受到攻擊者的攻擊。