这是晓霖的第 5 篇文章
嗨,你好,我是晓霖。(认真备考CISSP中)
写这篇的意义在于自我备忘。【全文大概2000字,阅读需要10分钟左右】
2.3社会工程
社会工程之所以如此有效,因为我们是人类。
2.3.1社会工程原理
1.权威
很多人都会响应权威,攻击者就会利用这一点进行攻击,如攻击者伪造CEO向下属发送特定的指示。
2.恐吓
恐吓利用权威性,信任甚至威胁伤害来推动某人执行命令或指示。
3.共识
利用一个人自然倾向的行为,模仿他们正在做过或做过的事情。
4.稀缺性
攻击者利用某人因稀缺性而具有更高价值的技术和心理进行攻击。
5.熟悉
攻击者利用一个人对熟悉事物的固有信任进行攻击。
6.信任
攻击者与受害者建立关系来说服受害者透露信息或执行违反公司的行为。
7.紧迫性
紧迫性通常与稀缺性相呼应,因为稀缺性代表措施的风险更大,所以迅速采取行动的需求就会增加。
2.3.2获取信息
社会工程人员对目标对象使用收集信息的手段或方法都是收集信息。
2.3.3前置词
前置词是在其他通信的开头或标题中添加一个术语表达式或短语,如添加“关于”、“转发”等。
前置词攻击还可用于欺骗过滤器,如垃圾邮件过滤器,反恶意软件防火墙和入侵检测系统(IDS)。
2.3.4网络钓鱼 phishing
网络钓鱼通过发送虚假邮件,邮件中可能包含虚假的恶意链接或诱导客户在系统安装恶意软件来实现攻击的目标。
网络钓鱼模拟器是一种用于评估员工抵抗和参与网络钓鱼活动能力的工具。
2.3.5鱼叉式钓鱼攻击
鱼叉式钓鱼攻击是专门针对个别目标或特定组织的攻击,攻击者通过伪装从值得信任的实体或个人,鱼叉式钓鱼攻击也被称为商业电子邮件泄露(BEC)。
水坑攻击是攻击者通过分析受害者的网络活动规律,寻找受害者经常访问的网站的弱点,然后植入恶意代码或链接。
当受害者者再次访问这些网站时,就可能会被植入恶意程序或被盗取个人敏感信息,如用户名、密码、信用卡信息。
2.3.6网络钓鲸(whaling)
网络钓鲸是鱼叉式网络钓鱼的一种变体,针对的是特定的高价值人员。
2.3.7短信钓鱼(smishing)
短信钓鱼是基于SMS服务进行发送钓鱼短信,如短信包含恶意链接、要求回复来进行强制扣费等行为。
2.3.8语音网络钓鱼(vishing)
语音钓鱼是通过任何电话或语音通信系统进行的网络钓鱼。
2.3.9垃圾邮件(spam)
垃圾邮件是任何类型不受欢迎而未经请求的电子邮件,通常携带恶意攻击内容和攻击向量作为社会工程学攻击载体。
2.3.10肩窥(shoulder surfing)
当有人能够看到用户的键盘或显示器时就会发生肩窥。
2.3.11发票诈骗(invoice scam)
通过提供虚假发票然后强烈诱使付款,企图从组织或个人那里窃取资金,攻击者经常试图以财务部门或会计团体的成员为目标。
2.3.12 恶作剧(hoax)
恶作剧经常声称不采取任何行动的应对方式会造成伤害,受害者可能会被指示删除文件、更改配置或安装欺诈性安全软件。
从而导致系统受损、无法启动操作系统或安全防御能力降低。
电子邮件恶作剧通常鼓励受害者信息,将信息转发所有联系人,恶作剧通常是在没有任何可验证来源的情况下实施欺骗的。
2.3.13假冒和伪装
假冒也可被称为伪装、欺骗,甚至身份欺诈。
2.3.14 尾随和捎带
尾随:当一个未经授权的实体利用一个合法员工的授权,在该员工不知道的情况下进入一个设施就发生了尾随。
捎带:当未授权的实体通过诱骗或者合法者的同意,并在合法工作人员的授权情况下进入设施时,就发生了捎带。
2.3.15垃圾箱搜寻
垃圾箱搜寻是通过挖掘垃圾废弃地点来获取有关组织的个人信息的行为。
防止垃圾箱搜寻的攻击方式,将所有文件在丢弃之前都应该被切碎或焚烧,此外安全介质的处理通常方式是焚烧、切碎或碎裂。
2.3.16身份欺诈(identity fraud)
身份欺诈和身份盗窃是经常互换的术语。
非法获取或使用他人的个人数据的犯罪,通常是为了获得经济利益。
2.3.17误植域名
是一种用户错误输入目标资源的域名或IP地址时捕获重定向流量的做法,攻击者抢注预注册的URL域名,如用户输入Google.com使输错为Googles.com攻击者抢注的域名为恶意。
URL劫持还可以指某种显示链接或广告的做法,点击劫持是一种将用户在网页的点击或选择重定向到备用的地址,通常是恶意的目标。
2.3.18影响力运动
是试图引导调整或改变公众的舆论社会工程攻击。
混合战争
军事战略与现代能力相结合,包括社会工程、数字影响力运动、心理战、政治战术和网络战争能力。
社交媒体
社交媒体已成为民族国家手中的一件武器,因为他们对目标发动混合战争。
2.4建立和维护安全意识、教育和培训计划
2.4.1安全意识
建立安全意识的目标是让用户将安全放到首位,并认可这一点。
安全意识在整个组织中建立了通用的安全认知基线或基础。
使用第三方或第三方评估来评估意识活动的有效性。
没有意识的泄露,是因为安全意识培训做的不到位。
安全意识培训的主要目的是使员工清楚应该承担什么样的安全责任。
2.4.2培训
培训是指教导员工执行他们的工作任务和遵守安全策略。
使员工遵守安全策略中规律的所有标准和指南。
2.4.3教育
用户学习的内容比他们完成其工作任务实际需要知道的多。
2.4.4改进
用户可以通过各种手段的方式来提升安全意识和改进培训。
2.4.5有效性评估
必须对所有培训材料进行定期的内容审查。
学习要有方法,要有计划,才能事半功倍。
▲点击上方卡片 关注【晓说森林】
原文始发于微信公众号(晓说森林):第2章人员安全和风险管理的概念(二)
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论