什么是社会工程学? |攻击预防


我一生的一半时间都担任网络安全记者,社会工程一直是我工作的重点。现在我懂了!你们都一定在想“社会工程和网络安全?这听起来像是一项社会工作支持的事情!网络犯罪必须要做什么?”

是的,曾经在网上冲浪时通过点击偷偷摸摸的弹出式窗口进行过恶意软件攻击吗?是的,这就是社会工程学!没什么支持的东西,是的?

在继续进行任何操作之前,让我先说明一下社会工程学是.

什么是社会工程学?

社会工程学是一种心理操纵某人放弃其私人信息的艺术。一名社会工程师致力于利用基本的人性,并发挥受害者的直觉.

这是犯罪分子中最流行的黑客方法,因为操纵某人的弱点远比入侵软件系统容易得多.

社会工程师如何对您进行操作?

有了这一点,社会工程学就可以通过与人的本能一起玩耍而发挥作用,这里值得深思的是社会工程师如何编排攻击?

还记得著名的电影《刺痛》吗?一对一骗子(自信男人)研究骗取千万富翁暴民的方法(马克)?

两人精心策划了一个计划,在计划中,他们使用了自己了解的有关黑帮的一般信息。他们进一步利用这些信息通过各种滑稽动作赢得了他的信任。.

电影放映后,马克相信两个骗子,两个骗子最终骗了他.

同样,正如电影中所描绘的那样,这正是社会工程师如何通过一些战术组织攻击的方式。首先要做的首要工作是研究并收集有关目标的信息.

由于这些攻击通常是针对大型公司的,因此,规划工作首先要研究公司的员工结构,内部事务,公司的工作,业务伙伴,股东以及其他一些信息.

社会工程师可以渗透到公司的另一种方法是通过研究和观察其底层员工(例如保安员或接待员).

黑客还可以在社交媒体上查找他们,获取他们的所有个人信息,以及在线和亲自研究他们的行为.

然后,使用此信息来找出可用于进行攻击的缺陷和漏洞。.

这些攻击可以用来找出借记卡信息,银行帐户详细信息和其他敏感信息,也可以用来获取对安全系统和网络的访问权限.

社会工程学攻击的6张面孔

社会工程学攻击以各种方式发生,并且可以在任何人与人之间交互的地方发生。在这里,我提到了六种类型的社会工程攻击,以使您轻松识别可能的攻击:

1.网络钓鱼

网络钓鱼是最常用的方法,适用于大量目标受众。它涉及使用伪造或相当合法的电子邮件地址发送电子邮件。它还可能包含看起来像是真实的公司信息的内容.

电子邮件中可能包含带有恶意软件的链接,文档或文件,一旦用户单击它们,它们就会感染设备。网络钓鱼攻击用于获取敏感的用户信息,例如信用卡信息,用户名,密码,银行帐户详细信息等.

2.鱼叉式网络钓鱼

该技术涉及针对特定的个人或企业。然后,黑客主义者会根据受害者的特征,工作描述和联系人起草电子邮件,从而使攻击似乎是自欺欺人的.

鱼叉式网络钓鱼是相对技术性的,需要进行这种攻击的人员需要进行大量工作。有时可能需要数周或数月才能彻底进行检查。如果巧妙地进行这些攻击,则很难发现并且通常会成功.

鱼叉式网络钓鱼的一个例子可能是黑客冒充公司的首席执行官。他可以制作一封电子邮件,使其看起来像来自CEO的电子邮件,然后将其发送给财务部门负责人,要求将部分资金转入假账户。.

该电子邮件经过精心制作,使其看起来像原始邮件,需要大量时间和辛勤工作.

3.许愿

这是网络钓鱼的声音版本。这里的工作不一定在线,而是通过语音电子邮件,VoIP(IP语音)或固定电话或手机进行.

此处的目的是相同的,但是方法有所不同。就像网络钓鱼一样,它用于提取受害者的敏感信息.

受害者可能会收到语音消息,表明信用卡帐户,银行帐户等中已发生可疑活动,这可能会继续下去.

受害者被告知打一个特定的电话,要求他以“身份验证”或“确保没有发生欺诈”的名义提供更多信息。

许愿特别难以追踪,而且常常是根据外国人数进行的,因此执法无能为力.

4.预先发贴

使用一系列精心设计的谎言来执行此方法。受害者被攻击者骗取以获取个人信息.

伪装者首先通过充当同事,银行官员,警务人员或某人可能依赖的任何权威人士来获得受害者的信任.

似乎提出了确认一个人身份所需的基本问题,这导致受害者提供了大多数关键数据.

通过此骗局,攻击者设法获取各种相关信息,例如社会保险号,银行帐户详细信息,个人地址,安全详细信息等.

5.诱饵

曾经去钓鱼吗?是的,在抓鱼的过程中,您用蠕虫把绳子扔了进去,然后等着鱼来。这就是诱饵.

同样,在网络世界中,诱饵的名称暗示它使用虚假承诺来吸引人们的兴趣。一旦罪犯设法夺取他们的利益,他就会诱使他们并将其捕获在网络中,从而窃取他们的个人信息或用恶意软件感染他们。.

通常,犯罪分子使用物理媒体散布恶意软件。这是诱饵的最原始形式。被感染恶意软件的USB或闪存驱动器遗留在一个明显的地方,受害者一定会遇到它.

它可能位于受害者公司的浴室,电梯,停车场等内。工程师将诱饵制作成看上去诱人且真实,因为它的主要功能是吸引受害者。.

它可能有一个标签,显示要获得晋升的员工列表或公司的工资单等。出于好奇,受害者抓住诱饵并将其插入计算机。一旦受害者进入闪存驱动器或USB,它便开始下载并安装恶意软件,这样诱饵攻击就成功了.

诱饵发生的另一种方法是在线方法。这涉及到受害者单击导致易受感染的广告或弹出链接,从而导致恶意软件感染或信息盗窃。.

6.恐吓软件

Scareware方法再次涉及谎言。受害者不断收到虚假警报和假冒威胁的提示。这使他以为计算机有恶意软件或下载了非法内容.

然后,黑客为受害者提供了一种会无意中纠正虚假问题的解决方案。但是,提供给受害者的“解决方案”实际上是用户安装的恶意软件.

Scareware攻击通常以弹出式窗口的形式出现,您经常在网上发现诸如“您的设备可能已被感染”之类的恐怖文字。这些弹出窗口可继续提供下载工具的功能,实际上这是一种可感染您设备的恶意软件。.

该工具也可能是无用的应用程序,并且用户仅获得其提示,以便他下载该工具,并有机会窃取其数据.

除弹出链接外,恐慌软件还传播有关使用带有虚假警告或提示用户购买无用或有害服务的垃圾邮件的信息。.

预防社会工程学的5种方法

如今,社会工程学攻击非常普遍,这就是为什么设法保护自己免受攻击有些关键的原因。我已自由编译了一系列方法来帮助您免受社会工程攻击的威胁:

使用更新的防病毒/反恶意软件

抗病毒和反恶意软件可帮助保护您的设备。但是,保持您的抗病毒软件和反恶意软件的定期更新非常重要。.

如果用户法规更新了软件,则它将提供更好的保护。您还应该定期扫描设备以进一步保护自己.

不要打开来自未知来源的电子邮件

通往社会工程学攻击最频繁的途径是电子邮件。最好保持警惕并避开未发现资源中的电子邮件或附件.

电子邮件欺骗非常普遍。这就是为什么最好不要回复未知电子邮件或打开从它们发送的附件。最好交叉检查从隐藏资源收到的消息.

此外,最好保持警惕,不要打开任何对您来说可疑的附件,因为它们可能包含恶意软件或病毒.

继续接受教育

我们生活在一个快节奏的世界中,并且这个世界正在不断前进。随着各个领域的进步,黑客方法也在不断更新。考虑到这一点,最好随时了解促销信息.

此外,由于社会工程攻击也可以针对公司,因此最好对员工进行教育。这可以使员工保持警惕,并保护您的公司.

照顾好您的隐私

在响应对密码或其他个人信息的请求之前,请务必小心。最好在回复之前重新搜索源.

询问密码或其他个人信息的来源通常是欺诈。因此,最好在响应之前避开它们或再次检查资源.

警惕提供帮助

社会工程师经常冒充技术支持人员冒充恶意软件入侵您的设备或窃取您的个人信息。有时他们可能会要求您提供帮助或提供帮助.

如果您没有请求帮助,最好不要回复此类请求。从受信任的来源进行双重检查也是安全的。在发送任何个人信息之前进行研究.

现在很清楚?

既然您已经收到了有关预防技巧的启发性信息,那么最好避免这些攻击。您现在可以开始研究预防技巧,以确保尽可能的安全!隐私在这项工作中尤其重要,您应该研究如何保护它.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map