每个窃贼都知道闯入建筑物最简单的方法是用钥匙开门。在信息安全的语义背景下,获取“密钥”的类似过程称为社会工程学。社会工程学的定义是“非技术类型的入侵,在很大程度上依赖于人际互动,通常涉及欺骗其他人破坏正常的安全程序”。
社会工程师即使用社会工程学手法的人员,不需要精通“硬核技术”,而是使用“魅力”、“恐吓”、“诡计”等等“人际交往能力”使其处于有利位置。社会工程学涉及情感操纵员工泄露机密信息,与一步式的技术型攻击不同,其目标是获取信息作为更大欺诈计划的一部分。哪个部门掌握最多的客户信息?无疑是客服中心!
想象一家IT外包服务中心的案例,一位愤怒的客户致电客服中心,威胁要取消服务,并且提供了姓名和地址,但是忘掉了自己的帐号或密码,同时该客户还威胁要在社交媒体上公开抱怨受到了不公平的收费待遇。最终客服人员让客户平静了下来,说服其不要取消服务。客服人员很高兴“留住”了客户,并向其提供了“忘掉”的账号密码。
然而这个电话可能并非来自真正的客户,而是黑客在垃圾桶里一张皱巴巴的票据上发现了客户的姓名、地址和帐户详细信息后,冒充客户进行的一场表演。黑客进而使用客服人员提供的账号和密码,在线访问了客户的帐户并获取包括付款方式在内的机密信息,进而盗取了多个支付卡内的全部余额。这是可能的,因为许多人在多个设备和帐户上重复使用相同的密码。后续的调查鉴定结果出炉,客户真的流失了,黑客(社会工程师)躲在境外逃过了追捕,同时该事件登上了头条新闻,公司的商业声誉也受到了严重的损害。一个真实的案例便是苹果公司的数据泄露事件给该公司造成了300万美元的损失,而这一切都是社会工程师通过致电他们的联络中心来实现的。当然,冒充苹果公司客服,对客户进行社会工程诈骗的零散案例更是数不胜数。

再让我们想象其他几个社会工程学场景:一、给用户打电话并冒充客服团队成员,需要用户的密码和其他信息来解决网络或用户帐户的问题。二、打电话给客服部门并冒充公司高级管理人员,假装忘记了密码并由于业务紧迫性要求立即提供信息。三、与用户或客服团队成员建立私人关系,目的是与该人“甜言蜜语”,套取可用于侵入网络的机密信息。再加上一些典型的社会工程策略如冒充:拾荒者、IT人员、清洁人员、维修人员、保安人员等等,这种种场景可能多到令人心惊胆寒。
还有一两种人们经常忽略的社会工程学,即“逆向社会工程学”,包括被称为“内鬼”的内部威胁,以及“内外勾结”的团伙作案。内部社会工程师在网络或用户的计算机上制造问题。然后,社会工程师或黑客前来救援,解决“问题”,从而获得受害者的信任,进而在“服务”过程中窃取受害者的机密信息。
如何防御社会工程师呢?昆明亭长朗然科技有限公司网络安全专员董志军表示:“顾客永远是对的!” “尽一切努力让客户满意!” 这些是常见的客户服务口号。这种文化没有错,但是这也正是社会工程师寻找脆弱入口点的方式。越想要取悦客户,就越容易被骗子、黑客和其他网络犯罪分子通过社会工程利用。
客服中心是犯罪分子的完美目标,因为客服人员经过培训并因提供优质客户服务而受到奖励。犯罪分子最容易攻击的目标是那些想让别人快乐的人员。因此,针对一线客服人员的安全意识培训是重要的开始,整个企业文化必须改变。需要创建一种保护客户数据的文化,同时提供良好的客户体验。第一步是制定客户信息保护的政策,最重要的一步是教育客服人员,让他们意识到社会工程学的危险,避免成为社会工程学骗局牺牲品。
验证客户身份是良好的实践,客服人员需要接受培训,以便在提供任何信息之前验证客户的身份。尽管这样做可能增加了服务的时长,但是与客户流失、不良宣传及信誉损失的成本相比,算不了什么,甚至在个人信息保护相关法规越来越严格的年代,变成一个加分项。
另外,还需要培训客服人员在客户交互的整个过程中识别和处理社会工程攻击,教会他们识别黑客操纵客户服务团队泄露机密数据的行为。尽管社工手法五花八门,但是客服人员有其本能和直觉,他们具有同理心且乐于助人,同时又能警惕伪装成客户的社会工程技俩,那就是完美的安全防线了。
培训不仅仅应该限于社会工程学,而是应该接受全方面的网络安全意识培训,例如不要点击可疑的电子邮件链接或附件。例如,冒充客户的社工黑客可能通过邮件发送附件,该附件看起来像是“客户”保修索赔所需的照片。然而实际上该附件是恶意软件,一旦点击,则将客服电脑的控制权,甚至整个客服网络暴露给社工黑客。
社交媒体的盛行使得社会工程变得更加容易, 它为黑客提供了他们可以用来冒充您的客户之一的个人详细信息。 例如,如果有人在社交媒体上发布一张购买全新智能手机的照片,黑客可能能够看到手机型号和运营商。然后,他们可以交叉引用该人的姓名并使用该姓名来挖掘更多信息。因此,不要假设员工知道不能随意泄露机密信息,有些员工没有理由质疑另一名似乎有合法需要的员工,即使是IT团队成员(具有安全意识)也可能会相信一个自称是高层管理人员的愤怒的人。
在一线的客服人员之外,还有二线甚至三线的面向客户的员工。客服中心是一个潜在的漏洞领域,所有面向客户的渠道都容易受到社会工程威胁,这意味着零售渠道也需要培训,销售人员、送货人员、装配人员、现场人员、技术支持人员等等也需要培训。总之,每位与客户接触并因此能够访问客户信息的人都在保护组织免受数据泄露方面发挥着作用。当所有人员的安全意识提升之后,“内鬼”和“内外勾结”式的“逆向社会工程学”也会受到遏制,其生存的空间也会被挤压。
社会工程可以被认为是黑客访问任何网络的最简单方法,也是最常见的黑客工具之一。通常,大多数组织都需要采取适当的措施来防止对人为因素的利用,其中便是强化包括社会工程学防范在内的安全意识教育培训,以提供人员的防范意识和技能。昆明亭长朗然科技有限公司积极顺应时代变化,专注于帮助各类型组织机构解决“人员”方面的安全风险,我们创作了大量的教程资源内容,包括安全、保密、合规等主题在内的电子图片、动画视频、互动游戏和电子课件,同时,我们拥有基于云计算的弹性学习管理系统,可以帮助各类型机构快速发起针对全员的安全意识在线学习计划,进而修复安全防范体系中“人为因素的弱点”。欢迎有兴趣的朋友联系我们,预览课程内容和洽谈采购事宜。
- 电话:0871-67122372
- 手机、微信:18206751343
- 邮件:info@securemymind.com