社会工程学定义社会工程学是黑客利用人类心理而不是技术来访问系统、数据或建筑物的技术。例如,社会工程罪犯可能不会寻找软件漏洞,而是会打电话给受害者并伪装成IT支持人员,试图诱骗他们输入密码。著名黑客凯文·米特尼克(KevinMitnick)在1990年代推广了“社会工程学”一词,尽管自从有骗子以来,这个想法和技术就一直存在。社会工程学所采用的技术社会工程学已被证明是社会工程学罪犯“闯入”企业的一种非常成功的方法。一旦犯罪分子获得了受害者的帐号和密码,他们就可以登录并窥探敏感数据。当使用访问卡或密码进入设施时,社会工程罪犯可以访问数据、窃取资产甚至伤害他人。在《黑客剖析》中,一名渗透测试人员描述了他如何利用时事、社交网站上的公开信息以及在旧货店购买的思科员工衬衫非法进入公司办公大楼。他穿这件衬衫是为了证明他是提供技术支持的思科员工。进入大楼后,他设法安装了几个载有恶意软件的U盘并侵入了公司网络,这一切都在公司员工的视线范围内。然而,网络罪犯不需要亲临现场就可以发起这样的社会工程攻击。他们可以通过电子邮件、电话或社交媒体进行网络攻击。这些网络攻击的共同点是,它们利用人的弱点为自己谋取利益,例如人们的贪婪、恐惧、好奇心,甚至是帮助他人的愿望。社会工程学示例社会工程学犯罪分子进入现场实施诈骗通常需要数周甚至数月的学习时间才能进入或拨打电话。他们的准备工作可能包括获取业务电话簿或组织结构图,以及在LinkedIn或Facebook等社交网站上研究公司部分员工的工作和习惯。(1)电话社会工程学犯罪分子可能会冒充同事或外部权威(例如执法部门或审计人员)给公司员工打电话。(2)进入办公室“你能帮我开门吗?我没有钥匙/门禁卡。”提出这个问题的人可能看起来并不可疑,但这是犯罪分子使用的一种非常常用的策略。(3)网络攻击社交网站使社会工程攻击更容易。今天的网络攻击者可以访问LinkedIn等网站,从而可以轻松找到公司的所有用户并收集大量详细信息,以用于进一步的网络攻击。社会工程罪犯还利用突发事件、假期、流行文化和其他策略来引诱受害者。大家可能会看到犯罪分子如何利用知名购物公司的名称进行诈骗。诈骗者经常使用虚假的慈善机构来实现他们的犯罪目标。社会工程罪犯还会根据用户的兴趣(例如,最喜欢的艺术家、演员、音乐、政治、慈善)定制网络钓鱼攻击,以诱使他们点击带有恶意软件的附件。一些值得注意的社会工程攻击人们了解需要注意哪些社会工程策略的一个好方法是查看过去发生的社会工程攻击。人们关注以下三种社会工程策略(独立于技术平台),这些策略在很大程度上成功击败了诈骗者。·提供诱惑。诈骗者获得成功的最简单方法是利用人们的贪婪。这是典型的尼日利亚419骗局的基础。在这类骗局中,诈骗者试图说服受害人帮助他们将“不义之财”转移到安全的银行,并提供部分资金作为条件。虽然人们收到来自“尼日利亚王子”的电子邮件可能是个笑话,但对于许多人来说,它们仍然是一种有效的社会工程策略:2007年,密歇根县的一位财务主管向诈骗者支付了120万美元。公款满足能够套现巨额财富的愿望。另一个常见的诱惑是提供更好的工作前景,这显然是许多人关心的事情。例如,在2011年发生的一次令人尴尬的数字泄露事件中,安全服务提供商RSA的两名员工打开了一个恶意软件文件,该文件附加在一封名为“2011RecruitmentPlan.xls”的网络钓鱼电子邮件中。·假装成别人。最简单和最成功的社会工程攻击之一是假装是受害者。在黑客凯文米特尼克早期的一次骗局中,他打电话给一家为该操作系统开发服务器的公司,自称是该公司的主要开发人员之一,说他现在无法登录,要求修复问题,并得到了一个新的一个。登录名和密码。有人可能认为情况会有所改善,但他们错了。例如,2016年,一名黑客通过美国司法部的电子邮件地址冒充内部员工,导致服务台交出DoJ内网的访问令牌。值得信赖。许多企业确实为这种厚颜无耻的冒充行为设置了一些障碍,但它们通常很容易被规避。例如,2005年惠普公司聘请调查人员查明哪些惠普董事会成员向媒体泄露信息时,他们可以得到这些人的社会保障号码的后四位——这是因为通信厂商的技术支持部门AT&T在提交详细的通话记录之前使用您的社会安全号码作为身份证明。·假装是权威人物。大多数人尊重权威人物或领导者。网络罪犯可以利用员工对公司内部流程的不同程度的了解让受害者相信他们拥有这种权力。例如,2015年,UbiquitNetworks公司财务员工将数百万美元电汇给一个冒充公司高管的骗子,骗子可能在他们的电子邮件地址中使用了类似的URL。在调查过程中,调查人员经常冒充其他电话公司员工来寻找访问语音信箱帐户的方法。有时,人们会不假思索地听从权威人物的命令或要求。例如,2016年,美国总统候选人希拉里克林顿的竞选经理约翰波德斯塔的电子邮件遭到间谍黑客攻击,间谍向他发送了一封伪装成谷歌笔记的钓鱼邮件,要求他重置密码。通过采取他认为可以保护他的帐户的行动来破坏他的登录凭据。2021年的社会工程攻击根据最近ISACA的一项名为《2021年安全状况,第二部分》的调查(对全球近3,700名网络安全专业人员的调查),社会工程攻击是企业遭受网络攻击的最常见原因。PhishLabs发布的季度威胁趋势和情报报告显示,与2020年同期相比,今年上半年的网络钓鱼攻击数量有所减少。同样,Verizon的2021年数据泄露调查报告的调查结果也强调了这一点社会工程是最常见的数据泄露攻击方法,85%的网络攻击以某种方式利用网络安全的人为因素。Gemini最近的研究还显示了网络犯罪分子如何使用社会工程学绕过某些安全协议(如3DSecure)进行支付欺诈。社会工程攻击趋势社会工程攻击趋势通常是周期性的。Gartner研究副总裁NaderHenein表示,一个重要的趋势是,社会工程已经成为大规模网络攻击工具箱的标准元素,以专业和可重复的方式与其他工具结合部署,针对企业和个人。“无论是网络钓鱼还是使用deepfakes来说服或胁迫目标,这些功能中的大部分都是通过服务水平协议和支持的组合作为服务提供的,”他说。因此,大多数企业安全培训越来越需要和提供社会工程意识和后续测试。Egress威胁情报副总裁JackChapman指出,最近“丢失消息”社会工程攻击有所增加。“它涉及欺骗高级员工的账户;完成的工作,例如报告。“为了施加额外的压力,社会工程攻击者会提到最初在之前的电子邮件中要求报告,让收件人相信他们错过了一封电子邮件,没有完成一项重要任务,”查普曼说。“这是应对紧急情况的一种非常有效的方式,尤其是在远程工作环境中。此外,社会工程攻击者越来越多地引诱或鼓励收件人点击他们的恶意链接。“我们看到的一个令人惊讶的趋势是黑客发送生日贺卡,”他说。社会工程攻击者可以使用OSINT找出受害者的生日,并发送一个链接来查看生日电子贺卡,这实际上是一个钓鱼链接。通常,收件人不会怀疑网络钓鱼攻击,因为他们认为他们可能会在生日那天收到这样的电子贺卡。Neosec首席信息安全官RenanFeldman说,当今大多数社会工程攻击都利用暴露的API。业务运行在应用程序平台上。此外,破坏API比渗透企业网络并横向移动以接管其大部分或全部关键资产要容易得多。因此,在接下来的几年里,我们很可能会看到通过API进行的勒索事件有所增加。随着越来越多的业务数据转移到API,企业正在加强他们的反勒索软件控制。“预防社会工程学攻击安全意识培训是预防社会工程学攻击的首要方法。人们应该意识到社会工程学的存在并熟悉最常用的策略。幸运的是,讲故事有助于提供社会工程学的安全意识。故事是比解释技术缺陷更容易理解也更有趣。但是,重要的是要了解社会工程不仅仅是员工,企业高管是社会工程攻击者的主要目标。5TipsforDefendingAgainstSocialEngineeringAttacksByCSOofof安全行业网络撰稿人DanLohrmann提供以下建议:(1)安全意识培训企业确保他们拥有全面的安全意识培训计划,该计划会定期更新以应对一般网络钓鱼威胁和有针对性的网络威胁。要记住的是,这不仅仅是点击链接。(2)向主要员工详细介绍最新的在线欺诈技术。“路演”的主要员工包括高级管理人员,但不要忘记那些被授权进行电汇或其他金融交易的人。重要的是要记住,许多涉及欺诈的事件都发生在较低级别的员工身上,他们可能认为业务主管要求采取紧急行动,往往会绕过正常程序或控制。(3)审查财务转移和其他重大交易的现有流程、程序和职责分离,如果需要,增加额外的控制。重要的是要记住,职责分离和其他保护措施有时可能会受到内部威胁的影响,因此可能需要重新分析风险审查以应对增加的威胁。(4)考虑与“带外”交易或紧急执行请求相关的新政策来自CEOGmail帐户的电子邮件应自动警告员工,但他们需要了解网络攻击者正在使用的最新技术。企业需要采用所有人都能理解的授权应急程序。(5)审查、改进和测试事件管理和网络钓鱼报告系统定期与管理层和主要人员进行桌面演习。测试控制并对潜在的易受攻击区域进行逆向工程。阻止社会工程学攻击的安全工具许多供应商提供工具或服务来帮助进行社会工程学练习或通过海报和时事通讯等方式提高员工意识。同样值得一试的是social-engineer.org的SocialEngineeringToolkit,可免费下载。该工具包有助于通过社会工程自动化渗透测试,包括鱼叉式网络钓鱼攻击、创建看似合法的网站、基于USB驱动器的攻击等。另一个重要资源是社会工程框架。目前,对社会工程学攻击的最好防御是对用户进行安全教育和技术防御,以更好地检测和应对攻击。检测电子邮件或电话中的关键字可用于排除潜在的攻击,但即使是这些技术也可能无法完全阻止社会工程攻击。
