2022年11月29日01:59:04评论135 views字数 6611阅读22分2秒阅读模式

回复“djcp1129”获取“《黑客心理学——社会工程学原理》”电子书

什么是社会工程学？

网络安全策略的最大弱点是人类，而社会工程利用了目标用户无法检测到攻击的优势。在社会工程威胁中，攻击者使用人类情感（通常是恐惧和紧迫感）来诱骗目标执行操作，例如向攻击者汇款、泄露敏感的客户信息或泄露身份验证凭据。

社会工程学史

诱骗用户泄露敏感信息在网络安全领域并不是什么新鲜事。唯一改变的是攻击方法、用于获取信息的故事以及来自有组织的团体的复杂攻击，其中包括其他威胁，例如网络钓鱼。社会工程一词于 1894 年由荷兰实业家 JC Van Marken 首次使用，但自 1990 年代以来它一直是网络攻击的一种方法。

在 1990 年代，社会工程涉及呼叫用户以诱骗他们泄露其凭据或提供将威胁参与者连接到内部公司服务器的拨入固定电话号码。现在，攻击者使用社会工程学诱骗目标用户向离岸银行账户发送数百万美元，从而使组织蒙受数百万美元的损失。在某些情况下，员工在后果和损害后失去工作。

社会工程攻击的特征

社会工程和网络钓鱼之间的界限很模糊，因为它们通常在复杂的攻击中齐头并进。社会工程通常涉及伪装成合法员工（例如，CFO 或 CEO）或诱使员工认为攻击者是合法客户，以试图让员工向攻击者提供敏感信息或更改帐户功能（例如，SIM 交换）。

不管攻击者的目标是什么，都有一些明显的迹象表明通信来自社会工程。社会工程学的一个主要组成部分是利用目标用户的恐惧和情绪。攻击者不希望目标用户消化和考虑请求，因此社会工程涉及使用恐惧和紧迫感。

所有社会工程攻击的一些共同特征是：

情绪高涨：攻击者威胁要丢失账户以诱骗用户提供凭据，或者攻击者可能会假装是高管，向目标用户索要钱财，以向害怕失去工作的员工灌输紧迫感。

欺骗发件人地址：大多数用户不知道发件人电子邮件地址可能会被欺骗，但适当的电子邮件安全措施将阻止欺骗发件人访问目标用户的收件箱。相反，攻击者将注册一个类似于官方域的域，并希望目标用户不会注意到拼写错误。

奇怪的好友请求：攻击者破坏电子邮件帐户并向受害者的联系人列表发送垃圾邮件的情况并不少见。消息通常很短，没有来自朋友的个性化元素，因此如果消息听起来不像个性化的交流，请不要点击来自朋友的链接。

不专业的网站链接：网络钓鱼链接有时与社交工程一起使用，以诱骗用户泄露敏感信息。切勿将凭据直接从电子邮件链接输入网站，即使它看起来像官方网站（例如PayPal）。

好得令人难以置信：诈骗者经常承诺金钱以换取金钱补偿。例如，目标用户可以通过支付运费获得免费 iPhone。如果报价好得令人难以置信，那么它可能是一个骗局。

恶意附件：复杂的攻击可能不会诱使目标用户泄露私人信息，而是使用电子邮件附件在公司机器上安装恶意软件。切勿通过看似无害的电子邮件在机器上运行宏或可执行文件。

拒绝回答问题：如果邮件看起来可疑，请回复邮件并要求发件人表明自己的身份。攻击者将避免识别自己，并且可能只是忽略该请求。

社会工程技术

社会工程中使用的总体技术是使用情绪来欺骗用户，但攻击者使用几种标准方法来推动用户执行操作（例如，向银行账户汇款）并使攻击看起来更合法。通常，这些技术涉及电子邮件或短信，因为它们可以在没有语音对话的情况下使用。

一些常见的技术包括：

网络钓鱼：通过社会工程学，攻击者通常会伪装成公司高管，诱骗用户向离岸银行账户汇款。

Vishing 和 smishing：攻击者使用短信和语音更改软件来发送 SMS 消息或机器人呼叫用户。这些消息通常承诺提供礼物或服务以换取付款。这些类型的诈骗称为网络钓鱼（语音网络钓鱼）和网络钓鱼（短信网络钓鱼）。

CEO（高管）欺诈：当高管要求采取行动时，用户通常会感到紧迫感，因此攻击者会伪装成 CEO 或其他高管，以灌输目标员工执行行动的紧迫感。这被称为CEO 欺诈。

诱饵：攻击者承诺提供奖品或金钱以换取小额付款是很常见的。报价通常好得令人难以置信，并且付款通常用于运费或其他一些费用范围。

尾随或捎带：使用安全扫描仪阻止未经授权访问场所的公司。攻击者使用尾随或捎带来诱骗用户使用自己的访问卡，从而使攻击者可以物理访问场所。

交换条件：心怀不满的员工可能会被诱骗向攻击者提供敏感信息，以换取金钱或其他承诺。

社会工程攻击的例子

要识别社会工程攻击，了解它的外观很重要。社会工程攻击利用目标受害者的情绪，但无论威胁行为者的目标如何，它们都有一些共同点。攻击者的目标通常围绕着诱骗用户汇款，但有些人想诱骗用户汇款。

一些常见的社会工程场景包括：

诱饵：攻击者提供“棍子上的胡萝卜”，受害者必须付钱才能获得大笔支出。支付可能是彩票奖金或免费奖品，以换取少量运费。攻击者还可能要求为不存在的活动提供慈善捐款。

回答从未问过的问题：目标受害者将收到一封“回复”问题的电子邮件，但回复将要求提供个人详细信息、包含指向恶意网站的链接或包含恶意软件附件。

威胁损失金钱或账户，或威胁起诉：恐惧是社交工程中的有用工具，因此欺骗用户的有效方法是告诉他们如果不遵守攻击者的要求，他们将遭受金钱损失或入狱.

CEO 欺诈：攻击者冒充老板或高管，向目标受害者传达一种紧迫感，说服他们向银行账户汇款。

如何不成为社会工程的受害者

紧迫感使许多有意的受害者望而却步，但受过教育的用户可以采取必要的措施来避免成为受害者，但要遵守一些规则。在通过电话进行交流时，放慢速度并验证电子邮件发件人的身份或提出问题非常重要。需要遵守的几条规则：

回应前研究：如果骗局很普遍，你会发现其他人在网上谈论社会工程方法。

不要通过链接与网页交互：如果电子邮件发件人声称来自官方企业，请不要单击链接并进行身份验证。相反，在浏览器中输入官方域。

注意朋友的奇怪行为：攻击者使用被盗的电子邮件帐户来欺骗用户，因此如果朋友发送的电子邮件中包含指向网站链接且几乎没有其他交流的网站，请保持警惕。

不要下载文件：如果电子邮件要求紧急下载文件，请忽略该请求或寻求帮助以确保该请求是合法的。

网络安全知识：什么是社会工程学

基本社会工程统计

社会工程是攻击者获取敏感信息的最常见和最有效的方式之一。统计数据表明，社会工程与网络钓鱼相结合是非常有效的，并且会给组织造成数百万美元的损失。

关于社会工程学的一些统计数据包括：

社会工程是造成 98% 的攻击的原因。

2020 年，75% 的公司报告称是网络钓鱼的受害者。

2020 年最常见的网络事件是网络钓鱼。

数据泄露后的平均成本为每条记录 150 美元。

超过 70% 的数据泄露始于网络钓鱼或社会工程。

谷歌在 2021 年记录了超过 200 万个网络钓鱼网站。

大约 43% 的网络钓鱼电子邮件冒充微软等大型组织。

60% 的公司在成功进行网络钓鱼攻击后报告数据丢失，18% 的目标用户成为网络钓鱼的受害者。

社会工程预防

企业也是社会工程的目标，因此员工必须注意这些迹象并采取必要措施来阻止攻击。组织有责任对员工进行教育，因此请按照以下步骤为您的员工提供工具，以识别正在进行的社会工程攻击：

注意正在发布的数据：无论是社交媒体还是电子邮件，员工都应该知道数据是否敏感并且应该保密。

识别有价值的信息： 个人身份信息 (PII)绝不应与第三方共享，但员工应该知道哪些数据被视为 PII。

使用政策来教育用户：制定的政策为用户提供必要的信息，以对欺诈性请求采取行动并报告正在进行的社会工程攻击。

使反恶意软件保持最新：如果员工下载恶意软件，反恶意软件将在大多数情况下检测并阻止它。

对数据请求持怀疑态度：应谨慎接收任何数据请求。在遵守请求之前提出问题并验证发件人的身份。

培训员工：如果员工没有接受过帮助他们的教育，他们就无法识别攻击，因此提供向员工展示社会工程真实示例的培训。

社会工程攻击在针对人类情绪和错误方面非常有效。我们有安全意识培训和教育计划，帮助员工识别与这些攻击一起使用的社会工程和网络钓鱼电子邮件。

我们为用户准备最复杂的攻击，并为他们提供反应所需的工具。使用现实世界的例子，员工将准备好识别社会工程并根据组织设定的安全策略做出反应。

社会工程常见问题解答

简单来说什么是社会工程？

大多数人认为网络威胁是恶意软件或利用软件漏洞的黑客。然而，社会工程是一种威胁，攻击者通过伪装成熟悉的人或服务来欺骗目标用户泄露敏感信息。攻击者可能会诱骗目标用户泄露他们的密码，或者攻击者可以通过伪装成高级管理人员来诱骗目标用户汇款。攻击者在社会工程活动中的目标各不相同，但通常攻击者想要访问帐户或窃取用户的私人信息。

社会工程学如何运作？

威胁参与者可能有一个特定的目标，或者攻击者可以撒网以访问尽可能多的私人信息。在威胁行为者进行社会工程攻击之前，他们的第一步是对目标用户或公司进行尽职调查。例如，攻击者可以从组织的 LinkedIn 页面收集财务部门工作人员的姓名和电子邮件地址，以识别目标受害者和标准操作程序。

侦察阶段对于社会工程攻击的成功至关重要。攻击者必须充分了解企业的组织结构图和有权执行成功所需操作的目标。在大多数攻击中，社会工程涉及威胁行为者假装是目标用户认识的人。威胁参与者收集的有关目标用户的信息越多，社交工程攻击成功的可能性就越大。

收集到足够的信息后，攻击者现在可以执行后续步骤。一些社会工程攻击需要耐心慢慢建立目标用户的信任。其他攻击速度很快，威胁参与者通过传达紧迫感在有限的时间内获得信任。例如，攻击者可能会呼叫目标用户并伪装成 IT 支持人员，以诱骗用户泄露密码。

成功的社会工程攻击的步骤是什么？

就像最有效的网络攻击一样，社会工程涉及特定的策略。每个步骤都需要彻底，因为攻击者旨在诱骗用户执行特定操作。社会工程涉及四个步骤。这些步骤是：

-信息收集：第一步对于社会工程的成功至关重要。攻击者从新闻剪报、LinkedIn、社交媒体和目标商业网站等公共来源收集信息。此步骤使攻击者熟悉业务部门和程序的内部工作。

-建立信任：此时，攻击者联系目标用户。此步骤需要对话和说服力，因此攻击者必须具备处理问题并说服目标用户执行操作的能力。攻击者必须是友好的，并且可能会尝试在个人层面上与目标用户建立联系。

-漏洞利用：攻击者诱骗目标用户泄露信息后，漏洞利用开始。漏洞利用取决于攻击者的目标，但这一步是指攻击者获取资金、访问系统、窃取文件或获取商业机密。

-执行：利用获得的敏感信息，攻击者现在可以执行最终目标并退出骗局。退出策略包括掩盖其踪迹的方法，包括从目标组织的网络安全控制中避免检测，这可能会警告管理员员工刚刚被欺骗。

什么是最常见的社会工程学形式？

“社会工程”一词是一个广义的术语，涵盖了许多网络犯罪策略。社会工程涉及人为错误，因此攻击者针对内部人员。最常见的社会工程形式是网络钓鱼，它使用电子邮件。网络钓鱼属于网络钓鱼（语音）和网络钓鱼（短信）。在典型的网络钓鱼攻击中，目标是获取信息以获取金钱收益或数据盗窃。

在网络钓鱼电子邮件中，攻击者伪装成来自合法组织的人或家庭成员。该消息可能要求简单的回复，或者该消息将包含指向恶意网站的链接。网络钓鱼活动可以针对组织内的特定人员 - 鱼叉式网络钓鱼 - 或者攻击者可以向随机用户发送数百封电子邮件，希望至少有一封电子邮件属于欺诈性消息。无针对性的网络钓鱼活动的成功率较低，但攻击者不需要很多成功的消息即可获取必要的信息以获取金钱利益。

两种网络钓鱼变体 - smishing 和 vishing - 与一般网络钓鱼活动具有相同的目标，但方法不同。“smishing”攻击使用短信告诉目标用户他们中奖了，需要支付运费才能收到礼物。“语音”网络钓鱼需要变音软件来诱骗用户认为攻击者是来自合法组织的人。

百分之多少的黑客使用社会工程学？

黑客经常使用社会工程，因为它有效。社会工程和网络钓鱼经常结合使用，作为一种更有效的方式来诱骗用户汇款或泄露他们的敏感信息（例如，网络凭证和银行信息）。事实上，个人和公司收到的大多数电子邮件都是垃圾邮件或诈骗电子邮件，因此将网络安全与任何电子邮件系统集成至关重要。

据估计，91% 的网络攻击都是从电子邮件开始的。他们中的许多人利用一种紧迫感，以便目标受害者没有时间处理这些消息是一个骗局。只有 3% 的攻击使用恶意软件，而 97% 的攻击来自社会工程。在一些复杂的攻击中，目标受害者会收到一封电子邮件，然后是后续电话或消息。

社会工程违法吗？

社会工程确实是一种犯罪，因为它使用欺骗手段诱骗目标受害者泄露敏感信息。典型的后果会导致以欺诈方式访问私人网络、窃取资金或用户身份，然后在暗网市场上出售私人数据等形式的额外犯罪。

消费者欺诈在社会工程攻击中很常见。攻击者伪装成合法组织，赠送奖金以换取财务数据或小额付款。在目标受害者提供财务数据后，攻击者直接从银行账户中窃取资金或在暗网市场上出售信用卡号。身份盗窃和从目标受害者那里偷钱是严重的罪行。

一些社会工程被归类为轻罪，只会处以罚款和短期监禁。如果犯罪涉及更大的金钱数额或针对多名受害者，他们可以处以更高的刑罚和更高的罚款。一些犯罪导致民事诉讼，受害者赢得对犯罪分子和参与帮助社会工程诈骗的人的判决。

社会工程学有多普遍？

视情况而定，但据估计，95%-98% 的针对个人和公司的针对性攻击都使用了社会工程学。高权限帐户是一个常见的目标，IT 运营中 43% 的管理员报告说他们是社会工程攻击的目标。IT 运营部门的新员工更有可能成为目标。公司表示，60% 的新员工是目标，而不是长期的现有员工。

由于社会工程如此成功，近年来基于网络钓鱼和身份盗窃的攻击增加了 500%。身份盗窃并不是攻击者的唯一目标。社会工程是主要攻击媒介的其他一些原因包括：

- 用于数据或货币盗窃的欺诈性帐户访问
- 对银行或信用卡帐户的财务访问
- 简单的滋扰原因

社会工程合乎道德吗？

社会工程是一种犯罪行为，因此恶意威胁在针对个人和公司时不会考虑道德。每个人都是攻击者的目标，因此个人和员工都应该了解社会工程是如何进行的。攻击者必须在进行社会工程活动之前了解他们的目标并进行侦察，因此用户还应该了解社会工程的工作方式。

表明您是社会工程目标的第一个危险信号是呼叫者或电子邮件发件人不会回答任何问题，并阻止您提出问题以澄清他们为什么有紧急请求。他们的要求可能看起来很微妙，但他们要求提供敏感信息而不回答您的任何问题。在合法的金融交易中，组织或银行会根据需要回答尽可能多的问题，直到您对他们需要您采取的行动感到满意为止。

另一个不道德的危险信号是大多数攻击者使用没有语音对话的网络钓鱼。如果您要求与请求者进行语音对话，攻击者将拒绝。这个危险信号并非总是如此，但它应该告诉您电子邮件发件人不是来自合法组织。在任何情况下，您都应该挂断或停止与电子邮件发件人的联系，直接拨打公司网站上的电话号码。

一些社会工程学是合乎道德的。当您聘请白帽黑客对网络安全进行渗透测试时，他们将测试所有员工检测社会工程攻击的能力。在渗透测试中，经过认证的道德黑客会打电话给员工，以确定他们是否会泄露其网络凭据或发送带有指向恶意网站的链接的网络钓鱼电子邮件。他们会记录每个单击该链接的用户，并记录输入其专用网络凭据的用户。此活动可帮助组织确定易受社会工程攻击的员工，并为他们提供有关网络安全协议的更多教育。