当我们想到数字攻击时,我想我们中的许多人都会直接想到涉及利用应用程序或操作系统漏洞的攻击。当然,并非所有攻击都涉及这些。有许多攻击仅使用社会工程策略来破坏我们的“人工”防御。为了防止这些类型的攻击,对社会工程有一个清晰的理解是很重要的。使用本文来定义社会工程学,并包括一些示例来说明社会工程学的真正危险是多么难以发现。然后,我将讨论网络检测和响应(NDR)如何成为抵御这些攻击的关键之一。社会工程学崩溃换句话说,社会工程学攻击将人类视为进入组织的初始入口点。不良行为者可能仍会进行侦察以了解我们网络上安装的硬件、操作系统和软件,并且他们可能仍会使用影响这些资产的已知漏洞作为攻击的基础。但在社会工程攻击中,这些行为取决于欺诈者首先诱使某人做他们不应该做的事情。这是一个相当宽泛的定义,不是吗?那不是故意的。实际上,社会工程攻击有多种形式,并使用各种媒体来掠夺用户。以下是确定的五个常见社会工程学子类别。网络钓鱼网络钓鱼是最常见的社会工程攻击类型之一,也是我们大多数人都熟悉的一种。我们经常看到攻击者发送不分青红皂白的电子邮件,试图诱骗收件人访问钓鱼登录页面。该页面类似于一个知名的受信任组织的网站或支持面板,以说服受害者披露他们的身份验证凭据。如果他们着迷并将登录凭据交给数字犯罪分子,他们可能不知道发生了什么,因为许多攻击只是将受害者重定向到合法服务的主页,以说服他们没有恶意发生。这是一个错误或故障,受害者只是重定向到真实的登录页面并继续他们的一天。数字诈骗者选择了许多公司进行网络钓鱼攻击。例如,在NakedSecurity记录的一次攻击中,骗子通过电子邮件向Instagram用户发送电子邮件,通知他们有人试图访问他们的帐户。这些消息为他们提供了无用的验证码,以及一个嵌入式链接,该链接指向一个看起来非常接近真实页面的假Instagram登录页面。鱼叉式网络钓鱼正如网络钓鱼是社会工程攻击的一个子类一样,鱼叉式网络钓鱼也是网络钓鱼的一个子类。但是,这种技术不同于普通的网络钓鱼攻击。事实上,鱼叉式网络钓鱼要求攻击者加倍努力仔细研究他们的目标,以便他们能够制作令人信服的电子邮件和令人信服的环境来说服受害者泄露凭据或安装恶意软件。因此,鱼叉式网络钓鱼是一种更有针对性的手段,攻击者可以通过这种手段使用诱人的诱饵专门针对有限数量的用户。例如,PhishLabs概述了一个鱼叉式网络钓鱼活动,其中攻击电子邮件使用真实的联系方式和员工信息来冒充私募股权公司和风险投资公司。这些电子邮件仅发送给少数员工,但似乎签署了保密协议。但是,该附件将受害者重定向到一个类似的域,旨在窃取用户的Office365凭据。借口另一种形式的社会工程,借口。与网络钓鱼和鱼叉式网络钓鱼没什么不同。那些使用这种技术的人只是创造一个虚假的场景或借口来诱骗某人泄露个人身份信息和目标的其他数据。为了实现这一目标,攻击者通常会冒充其他人或知名人士来获得他们想要的东西。他们甚至可能出于恶意目的创建新身份。根据社会工程师的说法,此过程需要大量研究,恶意行为者通常会在其整个职业生涯中创造多种借口/身份。一个基本的例子是,犯罪分子冒充Apple或Microsoft技术支持人员打电话给某人,并说受害者的机器已感染恶意软件或存在其他安全问题,需要攻击者进行干预。坏骗子会找借口去追求各种各样的员工。话虽这么说,Verizon在其2019年《数据泄露调查报告》(DBIR)中发现,数字犯罪分子越来越多地追捕C级高管。攻击者通常使用欺诈性商业电子邮件来发起这些攻击,以欺骗高级管理人员或其助理,他们可能很忙,没有仔细检查他们的电子邮件、泄露密码或点击恶意链接。诱饵有时,数字攻击者甚至不需要直接与其目标通信。这是诱饵发生的地方。通过这些攻击,不法分子只是想利用用户的好奇心,让他们在不知不觉中做出恶意行为。欺诈者使用各种手段来引诱用户。特别是,众所周知,不良行为者会将受感染的USB驱动器留在公共场所,希望有人将这些物品加载到他们的计算机上。通常,他们会在上面贴上诱人的标签,例如“人力资源文件”、“工资单”或“工资信息”,希望有人能更好地利用他们的好奇心。令人惊讶的是,这种策略比你想象的更有效。早在2016年,来自谷歌、伊利诺伊大学香槟分校和密歇根大学的研究人员在一项研究中发现,通常发现未知USB驱动器的人会将其插入计算机。为什么社会工程攻击是危险的在上面讨论的子类别中,不良行为者以人们为目标进行社会工程攻击。这凸显了技术如何在抵消人类的易犯错误和好奇心方面发挥巨大作用。社会工程攻击看起来是合法的,这意味着它们可以轻易愚弄未经培训的员工。一旦成功,当不良行为者使用合法凭据登录资产时,很难检测到这些攻击。在某些情况下,攻击者甚至可以使用这些凭据移动到网络的其他部分,端点检测和响应(EDR)工具或防火墙无法阻止这种情况。认识到社会工程攻击的现实,我们有义务指导我们的员工警惕社会攻击。我们应该专门通过安全意识培训来教育我们的员工了解可疑链接和电子邮件附件的危险,以及定期安装补丁程序和更新防病毒软件的重要性。鼓励员工信任,但通过使用不同的渠道来验证奇怪或不寻常的指令来验证请求,事故可能会大有帮助。但是我们针对社会工程的防御策略也可以而且应该超越这一点。当意识训练失败而攻击成功时,攻击就会出现在网络的某个地方。在攻击期间的某个时刻,与正常网络活动相比,不良行为者会发出危险信号……我们只需要能够发现它。虽然没有什么可以阻止犯罪分子使用窃取的凭据登录,但当他们不可避免地对合法用户采取异常行动时,利用网络流量分析、入侵检测和预防、人工制品分析和人工智能支持的全球威胁情报,提供高保真上下文整个感染链,包括因员工违规而受损的员工帐户。社会工程攻击和不良行为者在网络上的后续行动。制定超越预防措施的计划不再容易,包括检测控制以解决由于成功的社会工程活动而不可避免的事件。
