行业新闻与博客

根据 Verizon 的《 2019年数据泄露调查报告》，社交工程是一种常用的策略，在 2018年有 33％的数据泄露中使用了这种策略-这就是现实生活中社交工程黑客的样子

我妈妈以前总是开玩笑说，如果你让我父亲和一个陌生人独自一人，他可以在几分钟之内找到那个人的内裤尺寸。他是一个非常聪明，有趣，富魅力的人，并且总是有使人们感到舒适和开放的诀窍。坦白说，如果我的父亲渴望进行社会工程攻击，并且是一个乐于助人的家伙，那么他将成为一名出色的社会工程师。

幸运的是，事实并非如此，我父亲不具备制作可信的网络钓鱼电子邮件或创建恶意网站的技术知识（毕竟，这是每天与 Siri 争论的同一个人）。但是，仅仅因为我父亲不具备从事此类活动的技术知识（或兴趣），并不意味着就没有其他人不愿意或不愿意这样做（即网络犯罪分子）。

那么，什么是社会工程攻击？为什么如此成功？我们将研究社会工程学的定义，向您介绍为什么社会工程学黑客攻击是对黑客如此有效的攻击方法，并向您展示一些关键的社会工程学示例。

让我们对其进行哈希处理。

什么是社会工程学？

毫无疑问，社会工程对企业和个人都是最危险的威胁之一。简而言之，社会工程师是指与个人进行社交互动以从您那里得到某些东西（例如您的密码）或让您去做某事（例如进行电汇）的人。他们可能会放任自己的举手投足，使您感到自在，或者他们可能会以有权威的身份出场并传达出紧迫感。

无论哪种方式，社会工程攻击都是要让您喜欢并信任它们，或者是使您觉得他们是权威人士，并且您必须遵守他们的要求。 

世界知名的网络安全组织 Imperva 将社会工程学描述为：

[…] 通过人际互动完成的各种恶意活动。它使用心理操纵手段诱使用户犯安全错误或泄露敏感信息。”

或者，正如 FBI 所说的那样，它是“旨在使您放松警惕的有针对性的谎言”。

社会工程学攻击的类型

Verizon 报告在 2018年33％的数据泄露中使用了社交工程攻击：

通过面对面的互动，

通过电话（垃圾邮件或所谓的网络钓鱼），

通过 SMS 短信仿冒（仿冒），

使用电子邮件网络钓鱼策略（例如网络钓鱼），或

通过使用这些途径和其他途径的任意组合。

这些类型的攻击不需要大量的技术技能或黑客技巧。这是关于“黑客”或剥削一个人，而不是技术本身。但是，使用技术无疑会使使用它们的网络罪犯更容易发起这些攻击。

世界上最著名的骗人案安全顾问弗兰克·阿巴格纳勒（Frank Abagnale）的生活和犯罪是电影“如果可以的话赶我来”的基础，他在接受 SearchCloudSecurity 采访时说，尽管社会工程学的核心仍然是相同的，只是罪犯现在正在使用不同的攻击方法。

曾经有人说我是社会工程学之父。那是因为当我 16 岁时，我发现了我需要知道的所有内容-我知道该打给谁，也知道了要问的正确问题-但我只使用了电话。50年后的今天，人们仍在做同样的事情，只是他们在使用电话，在使用邮件系统，在使用互联网，电子邮件，云。还有其他所有东西，但他们仍在进行社会工程。”

社会工程学的攻击只与认识你有关

在数字世界中，社会工程攻击涉及网络犯罪分子尽可能多地了解有关公司和目标个人（即您）的信息。然后，他们使用该信息使您执行不应该做的事情（例如提供敏感的个人信息或进行电汇）。

从本质上讲，他们将您视为研究项目，并通过多种策略来了解您，其中包括：

在 Google 和其他搜索引擎上搜索有关您的信息：他们对您的了解越多，与您的联系就越容易并使您信任他们。这使您解除武装，并使您更有可能遵守。

追踪您的社交媒体页面以了解您：如果黑客知道您在 Pinterest 上钉了什么，在 YouTube 上看了什么，在 Facebook 上属于哪些群组，甚至在 Instagram 上喜欢了哪些照片等，他们可以制作更可信的网络钓鱼电子邮件来欺骗您。

查看您与谁建立了联系（通过 LinkedIn 和您的公司网站）并了解组织的层次结构： 网络犯罪分子希望尽可能简化他们的工作。如果他们知道您是 Sally，并且您是应付帐款的雇员，并且您的公司通常与 Org X 作为供应商合作，那么他们也许可以假冒该组织来骗取您的款项。

翻遍您的垃圾箱：不，我在这里不是隐喻地说。我的意思是从字面上看。众所周知，有些社会工程师会去垃圾站潜水，以获得有关您或您的组织的有价值的信息。这是为什么正确处置个人，专有或其他敏感信息很重要的一个示例。

打破社会工程学攻击生命周期

为了谈论社交工程攻击的生命周期，我们将使用 Imperva 所定义的术语。社会工程生命周期包括四个不同的阶段。这些类型的攻击包括以下一个或多个步骤：

调查：此步骤全部与研究有关，并尽可能收集有关您和您公司的信息。

建立关系：接下来的短语是关于使用社交策略和心理学来操纵或欺骗您的。有了关于您和您的组织的知识，他们将与您建立联系并与您互动。

玩：下一步是他们真正将计划付诸实施以利用交互作用时。这是关于扩大他们对您的影响，以使您提供信息或执行操作。

退出：这是他们花点时间摆脱证据的地方-隐喻地说，擦掉他们的数字指纹-让他们逃脱并摆脱地狱（理想情况下，您甚至都不知道在出事之后才出问题）早已消失）。

社会工程学攻击如何发生

正如您所了解的那样，社会工程学涉及到一个恶意行为者，它会研究您和您的组织以了解您，以便他们可以利用这些信息来欺骗您共享信息或执行您不应该做的事情。

社会工程不是一个不耐烦的人的游戏。与传统的网络钓鱼攻击不同，后者可能涉及向成千上万的人发送大量电子邮件，希望仅跟踪一个人就可以单击恶意链接，而社交工程攻击则更具针对性。网络罪犯可能会花费数小时甚至数天，数周甚至数月的时间来准备采取行动。

那么，这些攻击之一如何发生？通常，它归结为找到合适的人作为目标并找到（或创造）合适的机会。

据 Abagnale 在接受 WIRED 采访时表示：

我参与过的每一个涉及网络犯罪的案件，我从未在俄罗斯，香港或北京的某个地方找到主谋犯。最终，公司里有人做了他们不应该做的事情。他们读了一封电子邮件，去了一个他们不应该去的网站。因此，他们打开了允许该人进入的门。

不是这些人才华横溢，而是他们等待着知道，拥有 10,000 名员工的公司注定会打开大门。他们只是在等那扇门打开。”

不确定我们的意思吗？让我们深入一点。

行动中的社会工程学的一个例子

假设您是名叫 Tina 的应付帐款员工。您正坐在您的工作站上，突然间，您公司的一家供应商的代表接到了 Drew Stevens 的电话。他告诉您上一次付款有问题，说他们从未收到过。

你感到愧。当您道歉并快速尝试从上次付款中查找收据时，Drew 继续讲话，向您保证可以，但如果您的公司要继续使用其服务，他们确实确实需要尽快付款。他继续说，这可能只是文书工作上的一个小问题-他们的公司最近更换了银行，并将更新的付款信息发送给了所有客户，但是，以某种方式，新的银行帐户信息似乎永远不会对您有用和另一个客户。

他叹了口气但笑了起来，说那只是其中之一。 技术吧？要爱它。

他友善，自信，迷人和理解。他放心地说，他不想为您做额外的工作，因为他们知道您可能已经被淹没了！因此，为简便起见，他只是向您发送了新的银行信息，如果您可以尽快付款并确保您组织的服务不会失效，他将不胜感激。

您检查您的电子邮件，就像他说的那样，Drew 正在等待一条消息。里面有发票。您立即将其打开，然后使用文档中的信息进行付款。   

德鲁（Drew）谢谢您，并告诉您已收到付款。他顺利地结束了对话，并告诉您他将继续进行并发送了付款收据，并且很高兴你们俩能够如此迅速地共同努力以纠正这种情况。您交换再见并且挂断电话。

几周后，您的老板进来询问有关此未知帐户的付款。您告诉他您正在积极主动，并希望通过付款来快速处理情况。

您的老板说，但是已经付款了，事实证明该公司刚刚遭受了一次数据泄露，该数据泄露已追溯到您的工作站。

说什么？！

您不知道的是，您从 Drew 打开的发票实际上是恶意文件。现在，您不仅将付款发送到了一个欺诈帐户，而且还向黑客开放了公司的网络和 IT 系统。  

您可以做什么来防止社会工程学

毫不奇怪，技术使罪犯更容易摆脱社会工程学犯罪，但这并不意味着前景不容乐观。

在我们前面提到的 SearchCloudSecurity 采访中，Abagnale 向组织，企业和个人推荐以下方法：

因此，技术使事情变得容易得多，所有罪犯所做的事情都符合这一点。重要的是：您不能开发技术并说，“这是我的万无一失的技术，再也不能击败它。” 您必须经常返回并始终保持在最前面。您不仅可以开发它，然后走开并完成它。您必须不断意识到可能发生的事情以及人们将如何击败它。”

换句话说，您的公司需要：

• 利用网络和 IT 安全最佳实践加强技术防御


• 保护所有服务器和数据库并确保您的数据已加密


• 为您的员工实施网络安全意识培训


• 鼓励您的员工遵循网络安全和电子邮件安全最佳实践


• 将对敏感数据和系统的访问限制为仅对工作需要的员工


• 进行任何付款或更改供应商信息之前，请执行辅助验证程序

最后的想法

犯罪分子以一种或另一种形式都不是新鲜事物。社会工程学也可以这样说。尽管它的执行方式可能会随着时间而适应和变化，但相同的一般概念仍然相同。因此，对于组织而言，通知员工有关此类威胁的重要性如此重要，以便组织能够识别出它们是什么，而不是一意孤行。

因此，尽管社会工程师或网络犯罪分子可能对发现您的内裤尺寸没有兴趣，但他们确实确实想学习在其他领域可以找到的有关您的任何信息，以便他们可以利用这些信息使您放心并让您做自己的事情不应该。

本文由机器译制