什么是社会工程学 #
人都是安全防范措施李最为薄弱的一个环节,也是整个安全基础设施最脆弱的层面。从安全的角度来看,社会工程学是以获取特定信息为目标的操纵他人的有力武器。很多单位都使用社会工程学的方法来进行安全评估,以考核雇员的安全完整性,并通过这种方法调查工作流程和人员方面的安全弱点。需要注意的是,社会工程学是种很常见的技术,可以说各种人员都会使用这种技术。无论是渗透测试人员还是诈骗专家、身份窃贼、商业合作伙伴等。入侵客户的途径多种多样,主要包括以下几个方面。一、以智能手机、平板电脑和USB等移动设备为目标和攻击对象继而入侵企业信息系统的方式。二、社交工程的恶意邮件是许多APT攻击成功的关键因素之一,随着社交工程攻击手法的日益成熟,邮件几乎真假难辨。从一些受到APT攻击的大型企业可以发现,这些企业受到威胁的关键因素都与普通员工遭遇社交工程的恶意邮件有关。黑客刚一开始,就是针对某些特定员工发送钓鱼邮件,以此作为使用APT手法进行攻击的源头。三、利用防火墙、服务器等系统漏洞继而获取访问企业网络的有效凭证信息是使用APT攻击的另一重要手段。
从广义上讲,社会工程学是操纵人们放弃敏感信息的做法。社交工程学攻击可能当面发生,例如盗匪装扮成送货员闯入建筑物。本文将重点关注社会工程学网络攻击。在大多数情况下,此类攻击旨在使受害者泄露登录凭据或敏感的财务信息。
- 攻击者向受害者发送电子邮件,并将电子邮件伪装成似乎来自受害者的联系人列表中的某人。电子邮件中可能包含可疑链接,点击链接即会执行恶意的跨站点脚本攻击,或将受害者定向到恶意站点。
- 攻击者使用所谓的流行电影或软件下载链接在线诱骗用户,但这些下载链接实际上包含恶意有效负载。
- 攻击者联系受害人,声称自己是富裕的外国人,需要美国银行帐户信息来转移其财富,并提供丰厚的酬谢以换取受害者的银行帐户信息。实际上,攻击者是为了盗取受害者帐户中的款项。
钓鱼方式 #
1.钓鱼邮件 钓鱼邮件指利用伪装的电邮,欺骗收件人将账号、口令等信息回复给指定的接收者;或引导收件人连接到特制的网页,这些网页通常会伪装成和真实网站一样,如银行或理财的网页,令登录者信以为真,输入信用卡或银行卡号码、账户名称及密码等而被盗取。 2.钓鱼wifi 仿造一个假的wifi,欺骗用户登陆,之后窃取用户信息 3.钓鱼二维码 网站地址(URL)被编成QR二维码,有些网站将网站登录的URL存储在QR码上。攻击者用伪造的QR码替换合法的QR码,篡改登录网站的URL信息,将用户导向一个假冒的登录页面。在这种情况下,用户扫描QR码后,访问了伪造的登陆页面,将个人信息泄露给了攻击者。 4.伪基站 又称假基站、假基地台,是一种利用GSM单向认证缺陷的非法无线电通信设备,主要由主机和笔记本电脑组成,能够搜取以其为中心、一定半径范围内的GSM移动电话信息,并任意冒用他人手机号码强行向用户手机发送诈骗、推销等垃圾短信,通常安放在汽车或者一个比较隐蔽的地方发送。伪基站+短信+网页…… 5.标签钓鱼 标签钓鱼(tabnabbing)是一种新的网络钓鱼攻击手法,该攻击手法是由Mozilla Firefox浏览器的界面及创意负责人Aza Raskin发现和命名的,tabnabbing可改变用户浏览网页的标签及接口,以诱导用户输入网络服务的账号与密码。 因此,Raskin将此手法称为标签绑架(tabnapping),他指出当使用者连上一个嵌有第三方script程序或Flash工具的网页时,就会让自己曝露于风险中,因为相关的恶意软件得以侦测使用者经常使用或正在使用的网络服务,在用户暂时离开该网页后,该网页内容及网页标签会悄悄地变身成为伪造的网络服务,并诱导用户输入个人信息 6.鱼叉式网络钓鱼 指一种源于亚洲与东欧只针对特定目标进行攻击的网络钓鱼攻击。 注:水坑攻击” 水坑攻击”,黑客攻击方式之一,顾名思义,是在受害者必经之路设置了一个“水坑(陷阱)”。最常见的做法是,黑客分析攻击目标的上网活动规律,寻找攻击目标经常访问的网站的弱点,先将此网站“攻破”并植入攻击代码,一旦攻击目标访问该网站就会“中招”。水坑攻击属于 APT 攻击的一种,与钓鱼攻击相比,黑客无需耗费精力制作钓鱼网站,而是利用合法网站的弱点,隐蔽性比较强。在人们安全意识不断加强的今天,黑客处心积虑地制作钓鱼网站却被有心人轻易识破,而水坑攻击则利用了被攻击者对网站的信任。水坑攻击利用网站的弱点在其中植入攻击代码,攻击代码利用浏览器的缺陷,被攻击者访问网站时终端会被植入恶意程序或者直接被盗取个人重要信息。水坑攻击相对于通过社会工程方式引诱目标用户访问恶意网站更具欺骗性,效率也更高。水坑方法主要被用于有针对性的攻击,而 Adobe Reader、Java 运行时环境(JRE)、Flash 和 IE 中的零漏洞被用于安装恶意软件。 7.U 盘钓鱼 简单来说就是在 U 盘里面植入木马或者病毒,进行钓鱼注:U 盘嘛,你可以撇目标单位门口,或者社工个人信息,邮寄给他
社会工程学攻击防范对策 #
1.当心来路不明的服务提供商发来的电子邮件、即时消息以及电话。在提供任何个人信息之前验证其身份的真实性和请求的合法性; 2.缓慢并认真地浏览电子邮件、即时消息或短信中的细节。不要让攻击者消息中的急迫性影响了您的判断力; 3.自学,信息是预防社会工程攻击的最有力的工具,积极了解如何鉴别和防御网络攻击者;永远不要点击来自陌生发送者的电子邮件中的嵌入链接。如果有必要就使用搜索引擎寻找网站或手工输入网址; 4.永远不要再未知发送者的电子邮件中下载附件,如果有必要,可以在保护视图中打开附件;拒绝来自陌生人的在线电脑技术帮忙,无论他们声称自己是多么正当; 5.使用防火墙来保护计算机设备,及时更新杀毒软件同时启用和设置垃圾邮件过滤; 6.预防零日漏洞。保持操作系统和应用软件的更新,及时安装软件供应商发布的安全补丁程序; 7.关注网站的链接,有的不法分子对网络链接做了细微的改动,将流量诱导到诈骗等不良网站; 8.不要幻想不劳而获,天下不会掉陷阱,如果你没有买过彩票,那么你不会成为中大奖的幸运儿。 总之,社会工程学是一种利用人为因素来获取未经授权的资源的艺术。社会工程学攻击者使用多种技术来欺骗用户以泄露敏感信息。各类型的组织及工作人员必须拥有具有充分的社会工程学攻击对策。