小议社会工程学攻击及防范策略

近期,我们接触了不少大中型机构的网络安全负责人,他们都表现出对社会工程学攻击防范的兴趣,当然大多数负责人都希望能有详细的教程,来防范各种类型的社交工程攻击。甚至还有负责人给我们列出一个详细的社会工程攻击防范思维导图,里面有几十种不同向量的攻击设想。对此,昆明亭长朗然科技有限公司信息安全研究员董志军感叹道:看样子,市场和客户对社会工程学防范的认识度已经很高了。

尽管如此,也仍然有大量的安全从业人员认为黑客行为主要是使用恶意软件和编码绕过安全防护并窃取数据或金钱的行为。社会工程学骗子只是采用了低级的没什么技术含量的方法,以人为目标而不是软件为目标,是小菜一碟,不值一提。

不管如何,对任何事物,有不同的见解,有不同的声音,这样的世界才是正常的、稳定的和可靠的。因此,我们安全管理者不必要说谁对谁错,用自己认为正确的观点去压制有不同观点的安全技术人员,安全技术人员们那样认为,是由于他们不在管理岗位,当然会选择性地忽视非自己核心技术能力的领域。每个人都有自己的认知圈,这个世界很大,不必要强求他人和我们一样,只需“和而不同”。

话说回来,社会工程学骗子也是利用人类行为的知识来进行攻击的。一个人的偏见、假设、信念等可能使攻击者诱骗他们做一些符合攻击者利益的事情。这就是人们常说的:社会工程领域是基于心理学和行为学的。

研究发现,在如下一些情况下,人们更有可能遵守要求和付诸行动:

  • 要求由权威人士提出;
  • 请求者与受害者一样具有相似的兴趣、信念和态度;
  • 请求者给予或承诺给受害者一些有价值的东西,以换取他们的帮助;
  • 请求者提出的某种原因是受害人公开认可的;
  • 如果受害人符合要求,将与其他人的行为相符;
  • 请求者要求临时或短时内使用;

社会工程骗子意识到这些人为偏见,并以各种方式加以利用。通过针对人为因素,他们绕过旨在防止“常规”黑客攻击的技术型防御措施,从而增加了成功攻击的可能性。

社会工程学攻击可以通过任何渠道进行。这些路子五花八门,包括互联网、电话或面对面交谈等等,来绕过组织机构的网络防御。接下来,我们将简要介绍一些最常见的社交工程攻击类型。

基于网络的攻击

互联网使网络攻击在全球范围内成为可能,有多种基于网络的社会工程攻击手法,构建一个钓鱼网站是最常见的攻击方式。

水坑式绕道攻击

在水坑攻击中,黑客利用人们的习惯来攻击他们。当准备攻击特定目标时,攻击者会观察他们的浏览习惯,以识别他们通常访问的站点的类型。例如,当定位财务人员时,他们可能定位到税务服务或类似的站点。然后,攻击者会破坏目标站点,并迫使其向用户提供恶意内容,或创建用户可能访问的恶意站点。最终,用户访问该站点并受到入侵。

基于消息的钓鱼

网络钓鱼是社会工程学中最常见的类型。不过,大部分网络钓鱼都是从钓鱼邮件或钓鱼短信开始的。通常,这意味着让最终用户单击恶意链接进入钓鱼网站或下载并打开恶意附件。网络防御者们不断开发出识别和阻止网络钓鱼电子邮件的方法,同时黑客也不断创造出逃避这些保护的新方法,博弈态势在不断变化之中。

基于电话的攻击

基于电话的社交工程攻击常被简称为电信诈骗,它基于模仿目标用户想要与之交谈的某人,冒充政府、邮递、公安和银行是常见的选择。

基于电话的针对企业职员的一种特定社交工程类型是帮助台诈骗。攻击者伪装为目标组织的IT帮助中心成员,利用各种借口使攻击者告诉用户在其计算机上采取某些操作。

面对面的攻击

尽管甚至网络和电话系统可以从任何地方进行网络攻击,但有时面对面的攻击最为有效。假冒身份现场面对面沟通对攻击者而言非常有用,与通过电话或电子邮件相比,人们更有容易向身边聊天的人泄露敏感信息。

基于场所的攻击

对公司办公室的物理访问可以为攻击者提供大量有价值的数据。通过组织的会议室的白板上、办公室的桌子上、未锁定的计算机、未及时取走文档的打印机复印机……攻击者可以潜入内部,轻易窃取敏感数据和非常有用的信息。

为了利用这些机会,攻击者需要能够进入大门。尾标是完成此操作的最常见方式。一般而言,大多数人都很友善,并希望帮助他人,尤其是那些背着沉重的电脑包,行色匆忙的人。

免受社会工程学攻击

社会工程骗子利用人们的想法进行攻击,其中有许多是在潜意识层面上发生的,因此很难从技术层面识别和防御社会工程学攻击,要应对潜意识层面的攻击,也需得从意识层面入手。

社会工程学归结为试图执行未经授权的行为。对此,董志军借用一家知名客户总结出来的三步法,分享与您,用来应对各种请求:

  • 验证该人是其所声称的人
  • 验证该人是否有权提出请求
  • 确认您自己是否有权提供

如果您可以验证所有这三个条件都是符合的,则可能与社交工程攻击无关。总之,有人向您索取公司信息或帮助时,花点时间放慢脚步,并遵循适当的流程是保护自己免受社交工程师攻击的最佳方法。

昆明亭长朗然科技有限公司推出了专门针对职场人员的社会工程学防范意识课程,欢迎有需要的客户或伙伴们联系我们,洽谈合作。当然,如果您对文中的这个话题有兴趣或者有自己的观点看法,欢迎联系我们,以进一步深入探讨。

  • 电话:0871-67122372
  • 手机:18206751343
  • 微信:18206751343
  • 邮箱:info@securemymind.com
  • QQ:1767022898

终端用户保障数据安全从何处入手

不能否认的是大量的终端计算用户执掌着各类关键数据的安全使用,这远超过信息中心的IT安全经理和下属员工们所能想象,所以这不是任何中央集权式的数据管理管理系统所能覆盖和保护到的。

信息化不得不让这些最终用户访问和使用这些关键的业务数据,即使在终端和大型机时代也是如此,这并不是数据安全管理方面的无奈,而消费类终端计算设备的普及更让业务数据变得无处不在。

信息安全总监和经理们的担子不轻啊,控管安全网关门户和内部安全管理系统往往被视为基础架构安全的一部分,强化各类应用平台和数据库安全无疑是在信息安全管理上前进了一大步,而最终用户端,看似简易,却无疑是信息安全获得成功的“最后一公里”。

如何确保最终用户能够保障其所访问和使用的关键数据呢?昆明亭长朗然科技有限公司James Dong说:建立内部集中式的安全管理系统,比如网络防病毒、补丁系统、信息资产管理和各类终端安全控管系统都有所帮助,但是并不足够,关键的问题在于终端系统的使用主角,即最终用户的安全水平需要得到相应的提升。

在早期的微机时代,信息数据的安全和存储介质密不可分,当年承担数据安全大任的3.5寸1.44M的软盘如今都已经成为进入了博物馆。今天也有一个怪异的现象是很多电脑带有DVD驱动器,即使DVD的容量已经远超3.5寸软盘,但人们已经很少使用它们。因为免费的线上存储都已经有了几个G,而且U盘之类的USB存储已经掉到白菜价。

您是否准备将所有计算终端的USB口都给封了呢?还是准备禁用所有的USB设备进入工作区域?如果在组织内部没有这么强大推动力量,您应该不能过于信任不管哪款终端安全管理工具。

因为数据失窃的渠道除了网络,还有USB设备,更有员工的手机和嘴巴。U盘的丢失或“借用”不是个案,USB设备如智能手机和平板电脑更是大量数据的载体,不封U口,不拿到USB芯片,重要的信息数据就这么分散。

给USB设备中的数据加密是个不错的方案,要让您的员工接受加密的理念,并且会使用加解密方案。

不说运营商和窃听器相中了您公司员工的手机,路人或许都会对电话中所谈的内容感兴趣,您没办法让员工在“指定时间和指定地点”谈论工作事务,您也没办法不让使用移动电话,能做什么呢?教育最终用户通过手机讨论机密信息时注意周边环境,防止窃听呢。

除去通过网络入侵的家伙们,也不USB设备,那些利用社交工程学方法进行电话诈骗的家伙们,冒充公检法、或者客户或者供应商,或拿出利益诱饵,几句话或一个钓鱼附件就放倒了您公司的员工,让其交出关键的信息数据。如何应对?教育员工如何识别和防范社交工程攻击啊。

您公司的员工偶尔也会出差吧?路途中处理紧急事务被周边人偷看了屏幕,或被窃取了笔记本电脑,那您公司的信息数据不一起也丢了吗?应该怎么办?告知员工如何保障在差旅时保障信息安全的最佳实践吧。

您公司的信息数据会随着计算终端到处跑,也会随着员工到处跑,不能囚禁这些数据、终端设备和员工,只能强化安全控管措施和加强对员工们进行足够的信息安全意识教育。