在社会工程学攻击中,攻击者通过操纵受害人,让其提供可用于恶意目的的敏感信息。
阅读本文后,您将能够:
复制文章链接
笼统地说,社会工程学是指操纵人们泄露敏感信息的做法。社会工程学攻击可能会当面发生,例如窃贼伪装成送货卡车司机,然后突然地进入办公大楼。不过,本文将重点聚焦社会工程学网络攻击。在大多数情况下,此类攻击旨在诱使受害者泄露登录凭证或敏感的财务信息。
社会工程学攻击如下所示:
除了这些小型的个人社会工程学骗局之外,还存在针对整个企业的更加复杂的社会工程学攻击。一个例子是闪存驱动器植入。这些攻击可能会针对受到良好保护的公司网络,甚至是没有连接到互联网的公司。攻击者通过在目标公司的停车场周围散落多个 USB 驱动器来实现此目的。他们在这些驱动器上贴上诱人的标签,例如“机密”,期待一些好奇的员工捡到并插入其电脑。这些驱动器可能包含破坏性很强的病毒或蠕虫,由于它们是从本地计算机进入网络,因此很难检测到。
社会工程学攻击可能通过电话、电子邮件、社交媒体帖子,甚至是当面进行。攻击者使用各种策略(某些策略如下所述)获取受害者的信任,并操纵受害者采取其期望的行动。攻击的目标始终是让受害者做一些他/她们最初并不打算做的事情。
一些社会工程学攻击者的目的只是从直接受害者身上获取其所能得到的一切。然而,其他社会工程学攻击者则通过社会工程学攻击来实现更大的目标,例如感染整个企业或网络及其内部数据。许多勒索软件攻击和数据泄露都始于社会工程学攻击。一旦攻击者感染某个人的设备,他们就可以更轻松地访问该人员所在企业的其它设备。
2011 年 RSA 的数据泄露事件引起了巨大轰动,这主要是因为 RSA 是一家值得信赖的安全公司。该漏洞导致 RSA 广受欢迎的双因素身份验证服务 SecurID 中断。虽然攻击的所有细节尚未公开,但众所周知,攻击始于社会工程学攻击。攻击是通过基本的网络钓鱼攻击发起的,攻击者向 RSA 底层员工发送看似有关招聘的公司电子邮件。某个员工打开了电子邮件中的附件,从而触发了攻击。
美联社在 2013 年遭到了社会工程学攻击,导致股票市场暴跌 1,360 亿美元。这同样是通过发给员工的网络钓鱼攻击引起的。一名员工打开了电子邮件中的链接,由此触发了攻击,导致 AP 的 Twitter 帐户遭到破坏,攻击者在推特上发布了有关白宫爆炸的虚假新闻报道。这个虚假的新闻故事迅速流传开来,导致道指暴跌 150 点。一个名为“叙利亚电子军”的叙利亚黑客组织声称对这次袭击负责,但从未提供任何证据。
由于攻击手段非常高明,2013 年针对 Target 的数据泄露攻击已成为历史上最臭名昭著的网络攻击之一。像此处提到的其他攻击一样,这次攻击也始于社交工程学攻击,但攻击者并未通过 Target 的任何员工发动攻击。相反,他们向为 Target 商店安装高科技空调的供应商的员工发送电子邮件。这些空调链接到 Target 的店内计算机系统。攻击者入侵第三方供应商后,便得以入侵 Target 的网络并从数千家商店的信用卡扫描仪中收集信用卡信息,导致大约 4000 万目标客户的财务信息泄露。
尽管电子邮件筛选等自动安全功能有助于阻止攻击者与受害者联系,但是防御社会工程学攻击的最佳方法是尊重常识以及及时了解流行的社会工程学攻击方法。美国计算机应急准备小组 (US-CERT) 建议公民警惕任何可疑的通信,并仅在安全网页上提交敏感信息(HTTPS 和 TLS 是网站安全性的有效标识)。他们还建议避免点击电子邮件中的链接,而是直接在浏览器中输入可信任公司的 URL。网站所有者可以使用 Cloudflare 等服务来帮助防范此类攻击,当攻击者使用其域发起网络钓鱼攻击时,该服务会向其发送提醒。
对于企业来说,如果采用 Zero Trust 安全模型,则可以控制社会工程学攻击造成的损害。这种模型使攻击者在获得立足点后,更加难以进一步侵入网络或系统。进一步了解企业如何使用 Zero Trust 安全模型,保护自己免受社会工程攻击造成的损害。
社会工程学攻击是指操纵人们泄露敏感信息(例如:登录凭证或财务信息)的做法。此类攻击可能当面发生,也可能通过电话、电子邮件、社交媒体或在线发生。
社会工程学攻击使用多种策略来赢得受害者的信任,并操纵受害者采取非预期的行动。常见的策略包括冒充值得信赖的某一方、利用合意的承诺诱骗受害者,或编造虚假的情况来获取受害者的信息(假托借口)。攻击者还会利用引发贪婪、恐惧或好奇心的情绪感染,煽动受害者采取行动。
社会工程学攻击的示例包括:向受害者发送来自联系人列表中某人的电子邮件,其中包含恶意链接;使用虚假登录页面窃取用户密码;或使用闪存驱动器植入,针对受到良好保护的公司网络发起攻击。
最好的防御是尊重常识,以及及时了解流行的社会工程学攻击方法。人们应该对可疑的通信保持警惕,避免点击电子邮件中的链接,而是直接在浏览器中输入可信任公司的 URL。如果收到意外的消息,则直接联系相应的机构和服务提供商。对于企业来说,如果攻击者使用社会工程学在网络中站稳脚跟,则使用 Zero Trust 安全模型有助于控制损失。
社会工程学攻击可用作高级持续性威胁 (APT) 发起更大规模网络攻击的起点。通过入侵单个用户,攻击者可以更轻松地访问其所在企业的其他用户。成功的社会工程学攻击可能导致数据泄露、勒索软件感染,以及其它攻击。