愚弄毫无戒心员工的 4 个社会工程技巧

您是否拥有坚如磐石的防御系统来保护您的组织？

如果您的员工没有接受过识别一些最常见的社会工程技巧的培训，那么您的系统仍然存在很大的差距。

这些策略帮助犯罪分子欺骗毫无戒心的员工，让他们交出货物。社会工程师寻求访问信息、系统或安全建筑，而这些犯罪分子通过利用人类心理来达到他们想要的目的。

如何发现常见的社会工程技巧

社会工程师最常用的技巧有哪些？探索四种经常让善意的员工绊倒的方法，并学习如何教育用户，以便他们做好准备抵御这些邪恶的方法。

1. 网络钓鱼

网络钓鱼自电子邮件出现以来就一直存在，但遗憾的是它并没有消失。2017 年，安全公司卡巴斯基检测到大约2.5 亿次网络钓鱼重定向尝试。多年来，网络钓鱼技术不断发展并变得更加复杂。例如，鱼叉式网络钓鱼是指使用特定信息创建的网络钓鱼电子邮件，旨在欺骗特定目标。

据Infosec Institute称，攻击者使用电子邮件、短信、社交媒体和即时消息来诱骗受害者提供敏感信息或访问恶意 URL，以试图破坏他们的系统。

这些电子邮件主题行听起来熟悉吗？

• 你的账户被锁了！单击此处获取访问权限并解锁。

• 您欠国税局 2,300 美元的税款。请参阅此附件中的通知 - 立即付款，否则将面临牢狱之灾！

• 有人给你寄了 1,000 美元。单击此处领取您的钱！

你能做些什么来对抗这个伎俩呢？教育员工注意网络钓鱼电子邮件的特征（例如拼写错误），并确保他们了解某些官方交易并不是通过电子邮件进行的。例如，银行绝不会通过电子邮件告知账户锁定。如果员工担心，他或她应该直接联系银行，切勿点击可疑电子邮件中的链接或附件。

2.另一种追尾行为

对于犯罪分子来说，进入安全的办公室或建筑物通常与进入计算机一样有利可图。许多社会工程师利用吸烟区或繁忙的门口来诱骗员工进入未经授权的地方。

诡计是这样的：犯罪分子在大楼内工作的吸烟者休息的地方抽烟。当员工完成后，攻击者会在他们使用门禁卡开门时溜进去。没有人怀疑这个随意吸烟的人！Tripwire概述了另一种技术，其中涉及社会工程师冒充送货员。

你能做些什么来对抗这个伎俩呢？让员工知道，即使某人看起来不错，遵守建立访问权限的规则也很重要。如果有人因为要送货——或者因为他或她声称忘记了通行证而要求进入——员工必须首先验证自己的身份。

3. Crank Call：电话冒充

一种常见的情况是社会工程师致电并声称自己是 IT 支持人员。

“您好，这是服务台，”他或她会说。“我们注意到您的机器有一些奇怪的活动。我们需要访问权限。”

乐于助人的员工将开始与技术精湛的犯罪分子合作，以允许他或她进行远程访问。那么，一切就都结束了！一旦他或她进入机器，社会工程师就可以访问所有文件和系统。

据CSO称，社会工程师还可能打电话并假装是同事或值得信赖的外部机构，例如执法人员或审计员。社会工程师可能会学习公司行话，让另一端的人认为他或她是内部人士。另一种成功的技术涉及录制公司使用的“保持”音乐。

你能做些什么来对抗这个伎俩呢？员工应该意识到电话诈骗是犯罪分子的常见策略。与尾随一样，他们必须接受培训以进行验证。这并不意味着要按照对方提供的电话号码回电——因为犯罪分子已经做好了准备。这意味着挂断电话，拨打实际帮助台列出的公司号码，并要求他们确认有人试图联系他们询问他们的机器。

4. 过度分享：社交媒体借口

犯罪分子经常创建虚假的社交媒体资料，以收集与他们联系的人的信息以供以后使用。通过更多地了解他们的目标（例如，他们在哪里工作、在哪里居住、他们认识谁），犯罪分子可以发送令人信服的索要金钱的消息，或者鼓励受害者点击恶意链接或下载充满恶意软件的文档。例如，在 LinkedIn 上，犯罪分子可能会发送虚假的职位查询，其中包含错误的链接。

你能做些什么来对抗这个伎俩呢？员工必须明白，他们在社交媒体上发布的有关自己的信息越多，他们向潜在黑客提供的信息就越多。这些信息可用于剥削他们或其雇主。虽然分享是社交媒体使用固有的美妙体验，但它也伴随着风险。用户在与新连接交互时应始终保持警惕，并且所有通信都应经过验证。应定期检查隐私控制并尽可能严格地保护。

社会工程师总会有新的伎俩，但了解一些最常见的策略可以帮助员工领先现代犯罪分子一步。

原文始发于微信公众号（河南等级保护测评）：愚弄毫无戒心员工的 4 个社会工程技巧