網絡安全知識:什么是社會工程?
社會工程攻擊操縱人們共享不應該共享的信息、下載不應該下載的軟件、訪問不應該訪問的網站、向犯罪分子匯款或犯下其他損害個人或組織安全的錯誤。由于社會工程利用心理操縱并利用人為錯誤或弱點,而不是技術或數字系統漏洞,因此有時被稱為“人為黑客攻擊”。
一封似乎來自值得信賴的同事的要求敏感信息的電子郵件、一封聲稱來自美國國稅局的威脅性語音郵件、來自外國統治者的財富——這些只是社會工程的幾個例子。
網絡犯罪分子經常使用社會工程策略來獲取個人數據或財務信息(登錄憑據、信用卡號、銀行帳號、社會安全號碼),他們可用于身份盜竊,使他們能夠使用人們的金錢或信用進行購物、申請以他人名義申請貸款、申請他人失業救濟金等等。但社會工程攻擊也可能是更大規模網絡攻擊的第一階段。例如,網絡犯罪分子可能會誘騙受害者共享用戶名和密碼,然后使用這些憑據在受害者雇主的網絡上植入勒索軟件。
社會工程對網絡犯罪分子很有吸引力,因為它使他們能夠訪問數字網絡、設備和帳戶,而無需進行繞過防火墻、防病毒軟件和其他網絡安全控制的艱巨技術工作。根據 ISACA 的2022 年網絡安全狀況報告 (鏈接位于 IBM.com 外部),這是社會工程成為當今網絡危害的主要原因之一。根據 IBM 的《2022 年數據泄露成本》報告,由社會工程策略(例如網絡釣魚和商業電子郵件泄露)造成的泄露是成本最高的。
社會工程如何以及為何發揮作用
社會工程策略和技術植根于人類動機科學。他們操縱受害者的情緒和本能,其方式已被證明會驅使人們采取不符合他們最佳利益的行動。
大多數社會工程攻擊采用以下一種或多種策略:
- 冒充受信任的品牌:詐騙者經常冒充或“欺騙”受害者認識、信任的公司,并且可能經常或經常與之開展業務——如此頻繁,以至于他們本能地遵循這些品牌的指示,而不采取適當的預防措施。一些社會工程詐騙者使用廣泛使用的工具包來建立與主要品牌或公司相似的虛假網站。
- 冒充政府機構或權威人物:人們信任、尊重或害怕權威(不同程度)。社會工程攻擊利用這些本能,利用看似或聲稱來自政府機構(例如聯邦調查局或國稅局)、政治人物甚至名人的消息。
- 引起恐懼或緊迫感:人們在害怕或匆忙時往往會魯莽行事。社會工程詐騙可以使用多種技術來引起受害者的恐懼或緊迫感——告訴受害者最近的信用交易未獲批準、病毒已感染他們的計算機、他們網站上使用的圖像侵犯了版權等社會工程還可以引起受害者對錯過機會的恐懼(FOMO),從而產生一種不同的緊迫感。
- 吸引貪婪:尼日利亞王子騙局——一封電子郵件,其中有人自稱是尼日利亞王室成員,試圖逃離自己的國家,提供巨額經濟獎勵,以換取收件人的銀行賬戶信息或少量預付費用——是最好的騙局之一——吸引貪婪的社會工程的已知例子。(它也來自所謂的權威人物,并營造出一種緊迫感——這是一個強大的組合。)這種騙局與電子郵件本身一樣古老,但截至 2018 年,每年仍能賺得 70 萬美元。
- 吸引受害者的幫助或好奇心:社會工程策略還可以吸引受害者的善良本性。例如,看似來自朋友或社交網站的消息可以提供技術幫助、要求參與調查、聲稱收件人的帖子已病毒式傳播,并提供指向虛假網站或惡意軟件下載的欺騙性鏈接。
社會工程攻擊的類型
網絡釣魚
網絡釣魚攻擊是數字或語音消息,試圖操縱收件人共享敏感信息、下載惡意軟件、將資金或資產轉移給錯誤的人,或采取其他一些破壞性行動。詐騙者精心制作網絡釣魚消息,使其看起來或聽起來像是來自受信任或可信的組織或個人(有時甚至是收件人認識的個人)。
網絡釣魚詐騙有多種類型:
- 批量網絡釣魚電子郵件一次發送給數百萬收件人。它們似乎是由大型知名企業或組織(國家或全球銀行、大型在線零售商、流行的在線支付提供商等)發送的,并提出一般性請求,例如“我們在處理時遇到問題”您的購買,請更新您的信用信息。這些郵件通常包含惡意鏈接,將收件人引導至虛假網站,該網站會捕獲收件人的用戶名、密碼、信用卡數據等。
- 魚叉式網絡釣魚針對特定個人,通常是有權訪問用戶信息、計算機網絡或公司資金的個人。詐騙者通常會使用在 LinkedIn、Facebook 或其他社交媒體上找到的信息來研究目標,以創建一條看似來自目標認識和信任的人的消息,或者提及目標熟悉的情況。鯨魚網絡釣魚是一種針對知名人士(例如首席執行官或政治人物)的魚叉式網絡釣魚攻擊。在商業電子郵件泄露 (BEC)中,黑客使用泄露的憑據從權威人物的實際電子郵件帳戶發送電子郵件,從而使詐騙更加難以檢測。
- 語音網絡釣魚或語音釣魚是通過電話進行的網絡釣魚。人們通常會遇到聲稱來自 FBI 的威脅性錄音電話形式的網絡釣魚。但 IBM 的 X-Force 最近確定,將語音釣魚添加到有針對性的網絡釣魚活動中可以將該活動的成功率提高 3 倍。
- 短信網絡釣魚或短信釣魚是通過短信進行的網絡釣魚。
- 搜索引擎網絡釣魚涉及黑客創建在流行搜索詞的搜索結果中排名靠前的惡意網站。
- Angler 網絡釣魚是通過虛假社交媒體帳戶進行網絡釣魚,這些帳戶偽裝成受信任公司的客戶服務或客戶支持團隊的官方帳戶。
根據IBM Security X-Force 威脅情報指數 2023,網絡釣魚是主要的惡意軟件感染媒介,占所有事件的 41%。根據《2022 年數據泄露成本》報告,網絡釣魚是導致代價最高的數據泄露的最初攻擊媒介。
誘餌
通過提供有價值的優惠甚至有價值的物品來引誘(沒有雙關語)受害者有意或無意地放棄敏感信息或下載惡意代碼。
尼日利亞王子騙局可能是這種社會工程技術最著名的例子。當前的更多示例包括免費但受惡意軟件感染的游戲、音樂或軟件下載。但某些形式的誘餌并不巧妙。例如,一些威脅行為者只是將受惡意軟件感染的 USB 驅動器留在人們會找到的地方,然后抓住它們并使用它們,因為“嘿,免費的 USB 驅動器”。
尾隨
在尾隨(也稱為“捎帶”)中,未經授權的人員緊隨授權人員進入包含敏感信息或有價值資產的區域。尾隨可以親自進行,例如,威脅行為者可以通過未上鎖的門跟蹤員工。但尾隨也可以是一種數字策略,例如當一個人在仍登錄私人帳戶或網絡的情況下離開計算機無人看管時。
借口
威脅行為者以借口為受害者制造了一個虛假的情況,并冒充為解決問題的合適人選。很多時候(最具諷刺意味的是),詐騙者聲稱受害者受到了安全漏洞的影響,然后如果受害者提供重要的帳戶信息或對受害者計算機或設備的控制權,就會提出修復問題。(從技術上講,幾乎每次社會工程攻擊都涉及某種程度的借口。)
為了某事
在交換式騙局中,黑客用一種理想的商品或服務來換取受害者的敏感信息。虛假的比賽獎金或看似無辜的忠誠獎勵(“感謝您的付款——我們為您準備了一份禮物”)都是交換策略的例子。
恐嚇軟件
恐嚇軟件也被認為是惡意軟件的一種形式,它是利用恐懼來操縱人們共享機密信息或下載惡意軟件的軟件。恐嚇軟件通常采用虛假的執法通知的形式,指控用戶犯罪,或者以虛假的技術支持消息警告用戶設備上存在惡意軟件。
水坑攻擊
從短語“有人在水坑里投毒”來看,黑客將惡意代碼注入到目標經常訪問的合法網頁中。水坑攻擊造成了從憑據被盜到無意中偷渡式勒索軟件下載等各種情況。
社會工程防御
眾所周知,社會工程攻擊很難預防,因為它們依賴于人類心理而不是技術途徑。攻擊面也很重要:在較大的組織中,只需一名員工的錯誤就會損害整個企業網絡的完整性。專家建議采取的一些降低社會工程詐騙風險和成功的步驟包括:
- 安全意識培訓:許多用戶不知道如何識別社會工程攻擊。在用戶頻繁用個人信息換取商品和服務的時代,他們沒有意識到,交出看似平常的信息(例如電話號碼或出生日期)可能會讓黑客入侵帳戶。安全意識培訓與數據安全 政策相結合,可以幫助員工了解如何保護其敏感數據,以及如何檢測和應對正在進行的社會工程攻擊。
- 訪問控制策略:安全訪問控制策略和技術,包括多因素身份驗證、自適應身份驗證和零信任安全方法,即使網絡犯罪分子獲得了用戶的登錄憑據,也可以限制他們對公司網絡上的敏感信息和資產的訪問。
- 網絡安全技術:垃圾郵件過濾器和安全電子郵件網關可以首先防止某些網絡釣魚攻擊到達員工。防火墻和防病毒軟件可以減輕訪問網絡的攻擊者造成的任何損害的程度。使用最新補丁更新操作系統還可以消除攻擊者通過社會工程利用的一些漏洞。先進的檢測和響應解決方案,包括端點檢測和響應(EDR)和擴展檢測和響應(XDR),可以幫助安全團隊快速檢測和消除通過社會工程策略感染網絡的安全威脅。
