什么是社会工程学攻击?

在社会工程学攻击中,攻击者通过操纵受害人,让其提供可用于恶意目的的敏感信息。

学习目标

阅读本文后,您将能够:

  • 定义社会工程学
  • 简述几种社会工程学攻击
  • 了解避免遭到社会工程学攻击的最佳做法

相关内容


想要继续学习吗?

订阅 TheNET,这是 Cloudflare 每月对互联网上最流行见解的总结!

参阅 Cloudflare 的隐私政策,了解我们如何收集和处理您的个人数据。

复制文章链接

什么是社会工程学?

笼统地说,社会工程学是指操纵人们泄露敏感信息的做法。社会工程学攻击可能会当面发生,例如窃贼伪装成送货卡车司机,然后突然地进入办公大楼。不过,本文将重点聚焦社会工程学网络攻击。在大多数情况下,此类攻击旨在诱使受害者泄露登录凭证或敏感的财务信息。

社会工程学攻击如下所示:

  • 攻击者向受害者发送电子邮件,并将电子邮件伪装成似乎来自受害者的联系人列表中的某人。电子邮件中可能包含可疑链接,点击链接即会执行恶意的跨站点脚本攻击,或将受害者定向到恶意站点。
  • 攻击者使用所谓的流行电影或软件下载链接在线诱骗用户,但这些下载链接实际上包含恶意有效负载。
  • 攻击者联系受害人,声称自己是富裕的外国人,需要美国银行帐户信息来转移其财富,并提供丰厚的酬谢以换取受害者的银行帐户信息。实际上,攻击者是为了盗取受害者帐户中的款项。
  • 攻击者发送网络钓鱼电子邮件,将受害者定向到一个虚假的登录页面来窃取其密码。
社会工程学攻击实例

除了这些小型的个人社会工程学骗局之外,还存在针对整个企业的更加复杂的社会工程学攻击。一个例子是闪存驱动器植入。这些攻击可能会针对受到良好保护的公司网络,甚至是没有连接到互联网的公司。攻击者通过在目标公司的停车场周围散落多个 USB 驱动器来实现此目的。他们在这些驱动器上贴上诱人的标签,例如“机密”,期待一些好奇的员工捡到并插入其电脑。这些驱动器可能包含破坏性很强的病毒或蠕虫,由于它们是从本地计算机进入网络,因此很难检测到。

社会工程学攻击的工作原理是什么?

社会工程学攻击可能通过电话、电子邮件、社交媒体帖子,甚至是当面进行。攻击者使用各种策略(某些策略如下所述)获取受害者的信任,并操纵受害者采取其期望的行动。攻击的目标始终是让受害者做一些他/她们最初并不打算做的事情。

社会工程学攻击策略

  • 冒充值得信赖的某方:这可能是某个品牌、某位同事或上司,甚至是朋友或家人。
  • 诱饵:攻击者向受害者提供一些合意的东西作为诱饵。诱饵可能是免费软件下载(包含恶意软件)、承诺未来支付金钱,或提供专业帮忙。
  • 假托借口:大多数社会工程学攻击都包含某种形式的假托借口,即:攻击者创建或描述虚假的情况,并向目标受害者提供解决方案。例如,攻击者可能会指出,受害者的某个重要账户被锁定,需要提供登录凭据才能解决问题。
  • 情绪感染:诈骗者试图激起受害者的情绪,煽动其采取行动。他们可能会利用受害者的恐惧(通过描述必须解决的负面情况)、贪婪(通过向受害者提供某种东西)、乐于助人(通过假装需要帮助)或其他强烈的情绪,来操纵攻击目标。
  • 恐吓软件:为发起社会工程学攻击之用而设计的软件被称为恐吓软件。这种软件通常通过显示弹出消息来恐吓受害者,例如某条消息告诉受害者,其计算机感染了多种病毒。此类消息还指示受害者下载恶意软件,或放弃个人信息以纠正(虚假)问题。

社会工程学攻击如何融入更大规模的网络攻击活动

一些社会工程学攻击者的目的只是从直接受害者身上获取其所能得到的一切。然而,其他社会工程学攻击者则通过社会工程学攻击来实现更大的目标,例如感染整个企业或网络及其内部数据。许多勒索软件攻击数据泄露都始于社会工程学攻击。一旦攻击者感染某个人的设备,他们就可以更轻松地访问该人员所在企业的其它设备。

社会工程学攻击有哪些著名案例?

2011 年 RSA 的数据泄露事件引起了巨大轰动,这主要是因为 RSA 是一家值得信赖的安全公司。该漏洞导致 RSA 广受欢迎的双因素身份验证服务 SecurID 中断。虽然攻击的所有细节尚未公开,但众所周知,攻击始于社会工程学攻击。攻击是通过基本的网络钓鱼攻击发起的,攻击者向 RSA 底层员工发送看似有关招聘的公司电子邮件。某个员工打开了电子邮件中的附件,从而触发了攻击。

美联社在 2013 年遭到了社会工程学攻击,导致股票市场暴跌 1,360 亿美元。这同样是通过发给员工的网络钓鱼攻击引起的。一名员工打开了电子邮件中的链接,由此触发了攻击,导致 AP 的 Twitter 帐户遭到破坏,攻击者在推特上发布了有关白宫爆炸的虚假新闻报道。这个虚假的新闻故事迅速流传开来,导致道指暴跌 150 点。一个名为“叙利亚电子军”的叙利亚黑客组织声称对这次袭击负责,但从未提供任何证据。

由于攻击手段非常高明,2013 年针对 Target 的数据泄露攻击已成为历史上最臭名昭著的网络攻击之一。像此处提到的其他攻击一样,这次攻击也始于社交工程学攻击,但攻击者并未通过 Target 的任何员工发动攻击。相反,他们向为 Target 商店安装高科技空调的供应商的员工发送电子邮件。这些空调链接到 Target 的店内计算机系统。攻击者入侵第三方供应商后,便得以入侵 Target 的网络并从数千家商店的信用卡扫描仪中收集信用卡信息,导致大约 4000 万目标客户的财务信息泄露。

防范社会工程学攻击的方法

尽管电子邮件筛选等自动安全功能有助于阻止攻击者与受害者联系,但是防御社会工程学攻击的最佳方法是尊重常识以及及时了解流行的社会工程学攻击方法。美国计算机应急准备小组 (US-CERT) 建议公民警惕任何可疑的通信,并仅在安全网页上提交敏感信息(HTTPSTLS 是网站安全性的有效标识)。他们还建议避免点击电子邮件中的链接,而是直接在浏览器中输入可信任公司的 URL。网站所有者可以使用 Cloudflare 等服务来帮助防范此类攻击,当攻击者使用其域发起网络钓鱼攻击时,该服务会向其发送提醒。

对于企业来说,如果采用 Zero Trust 安全模型,则可以控制社会工程学攻击造成的损害。这种模型使攻击者在获得立足点后,更加难以进一步侵入网络或系统。进一步了解企业如何使用 Zero Trust 安全模型,保护自己免受社会工程攻击造成的损害。

 

常见问题解答

社会工程学攻击的定义是什么?

社会工程学攻击是指操纵人们泄露敏感信息(例如:登录凭证或财务信息)的做法。此类攻击可能当面发生,也可能通过电话、电子邮件、社交媒体或在线发生。

社会工程学攻击的工作原理是什么?

社会工程学攻击使用多种策略来赢得受害者的信任,并操纵受害者采取非预期的行动。常见的策略包括冒充值得信赖的某一方、利用合意的承诺诱骗受害者,或编造虚假的情况来获取受害者的信息(假托借口)。攻击者还会利用引发贪婪、恐惧或好奇心的情绪感染,煽动受害者采取行动。

社会工程学攻击示例有哪些?

社会工程学攻击的示例包括:向受害者发送来自联系人列表中某人的电子邮件,其中包含恶意链接;使用虚假登录页面窃取用户密码;或使用闪存驱动器植入,针对受到良好保护的公司网络发起攻击。

如何防范社会工程学攻击?

最好的防御是尊重常识,以及及时了解流行的社会工程学攻击方法。人们应该对可疑的通信保持警惕,避免点击电子邮件中的链接,而是直接在浏览器中输入可信任公司的 URL。如果收到意外的消息,则直接联系相应的机构和服务提供商。对于企业来说,如果攻击者使用社会工程学在网络中站稳脚跟,则使用 Zero Trust 安全模型有助于控制损失。

社会工程学攻击会对企业产生怎样的影响?

社会工程学攻击可用作高级持续性威胁 (APT) 发起更大规模网络攻击的起点。通过入侵单个用户,攻击者可以更轻松地访问其所在企业的其他用户。成功的社会工程学攻击可能导致数据泄露、勒索软件感染,以及其它攻击。