检测社会工程消息

介绍

社会工程消息对个人和组织构成重大威胁，因为它们能够帮助对手破坏账户、设备、系统或敏感信息。本文提供有关识别通过电子邮件、SMS、即时消息传递或社交媒体应用程序提供的其他直接消息传递服务传递的社会工程消息的指南。

什么是社会工程信息？

社交工程消息是攻击者发送的消息，试图引导用户执行特定操作，例如打开附件、访问网站、泄露账户凭据、提供敏感信息或转移资金。为了增加用户执行攻击者所需操作的可能性，攻击者将竭尽全力使他们的消息看起来像是合法的并且来自可信赖的来源。因此，社会工程信息可能与工作相关、推断紧迫感或针对用户的特定兴趣。它们也可能来自用户已知的人，例如同事、高级经理或组织的权威部门（例如信息技术、人力资源或财务领域）。

社会工程信息针对谁？

虽然任何人都可以接收社会工程信息，但由于某些用户的个人资料、对敏感信息的访问、对系统进行更改的能力、承担风险业务活动的权限（例如转移大量钱）或他们的工作要求定期与不熟悉的人互动。从广义上讲，这可以包括：

• 知名人士

• 高级管理人员及其员工

• 系统管理员

• 人力资源、销售、营销、财务和法律领域的工作人员。

应该强调的是，其他用户不应认为自己对接收社会工程消息免疫。攻击者可能会向尽可能多的用户发送消息，希望至少一条消息会成功。

如何识别社会工程信息？

虽然社会工程消息可能非常有说服力，但需要寻找一些东西来帮助将它们与合法消息区分开来。用户应考虑以下问题。

发件人是否要求打开附件或访问网站？

当消息包含网站链接时，用户应自行浏览网站，而不是单击消息中的链接或直接复制或键入链接到网络浏览器中。攻击者可以使用多种技术（例如单个字母替换）来混淆或诱骗用户访问他们认为合法的恶意网站。如果消息中的链接指向网站，切勿将凭据输入网站。

从邮件中打开附件时，用户应谨慎并做出判断。如果不确定，请为发件人使用已知的带外联系方式（例如电话号码）来确认他们将文件附加到邮件的意图。

发件人是否要求执行特定活动？

通常，如果不与用户交互，对手将无法实现其目标。这可能是由于现有的安全控制或对手试图破坏系统的复杂性。例如，如果 Microsoft Office 宏被禁用，攻击者可能会向用户提供有关如何启用它们的分步说明，以便在用户打开 Microsoft Word 文档时执行恶意代码。用户应将任何更改系统配置或执行特定操作的请求视为高度可疑的。

或者，一种被称为 CEO 欺诈的社会工程形式涉及伪装成组织 CEO 并要求大笔转账的对手，通常当他们知道实际的 CEO 将无法联系并且无法反驳该请求时。

发件人是否要求提供他们不一定需要知道的信息？

执行社会工程的最简单方法之一是攻击者通过利用用户提供帮助的自然愿望来简单地向用户询问他们想要的信息。通常，对手会伪装成用户可能期望有合法要求来访问所要求的信息的人。例如，一位同事要求提供他们意外删除的文档的副本。或者，对手可能会选择伪装成用户可能不一定认识但可以合理预期需要访问他们请求的信息的人，例如信息技术服务台的新启动者或工作人员同一个项目，但来自不同的办公室。

用户不应向其他人透露诸如密码之类的凭据。此外，用户应该怀疑他们不经常与之互动的人对敏感信息的任何请求。即使用户知道请求敏感信息的人，他们仍应考虑该人是否有合法的需要知道该信息，因为恶意内部人员经常利用他们的联系人来收集他们不应该访问的信息或特权。

消息是否可疑？

虽然对手可能会竭尽全力使他们的信息看起来像是合法的并且来自相关且值得信赖的来源，但另一个对手可能缺乏这样做的技能或动机。不正确的拼写和大写、异常的语气和语言，或者没有特定的收件人，都可能表明一条消息很可能是一条社会工程消息。

应该如何处理社会工程信息？

如果怀疑自己收到了社交工程消息，请不要删除或转发它。请联系所在组织的信息技术服务台或安全团队，并就如何进行寻求建议。

原文始发于微信公众号（河南等级保护测评）：检测社会工程消息