阳光明亮的早上,您醒了过来。就像大多数人一样,您匆匆赶到工作单位,检查您的电子邮件和即时消息。您看到一封来自您认识的人的电子邮件,上面写着:您好,我正在为一个很棒的慈善机构筹集资金,需要您的支持,请点击这里,这样我就可以实现我的目标并帮助这么多人。
您想帮助您的朋友,这是一件有价值的事情,所以很自然您就点击了该链接,网站为您提供了登录各大银行和支付宝、微信等账户的登录选项,这是非常方便的功能,所以您很自然地输入其中某家银行的登录名和密码。让您没有想到的是,不一会儿,您收到显示为该银行号码的来电,自称是银行工作人员,说感谢您支持慈善事业,并向您询问登录网银的短信验证码。在您告知对方短信验证码之后,您警觉起来了,甚至后悔轻信对方了。可是这时晚了,您又接连收到几笔转账的短信,这些都不是您操作的!
您通过电话联系到给您发邮件的人,对方称他/她的邮件被人恶意利用了,您已经是第五起受害者了。显然,您遇到社会工程攻击了,犯罪分子精心盗用了他人的邮箱并向您发送了钓鱼邮件,其中含有钓鱼网站链接,通过自先制作了的钓鱼网站,获得了您的网银账号和密码,进一步,冒充银行工作人员,骗取了您的短信验证码,就是突破了网银的双因素验证。
其实,您并不独单,社会工程攻击的实例很多,各行各业都有。昆明亭长朗然科技有限公司网络安全专员董志军说:比如免费软件中捆绑流氓插件、包含病毒附件的垃圾邮件、网络钓鱼、中奖短信、诈骗电话、免费试听课程等,都是典型案例。
社会工程攻击,在信息安全语境下,是一种利用“人性弱点”实施网络攻击,操控人们执行相关动作或泄露机密信息的行为。准确地说,社会工程学不是一门科学,而是一门艺术或窍门,它利用欲望、软弱等人性弱点,令人上当受骗。
社会工程攻击步骤社会工程攻击大致可以分为如下几个步骤:
信息搜集
通过各种手段获取被攻击者非敏感信息,包括被攻击者的姓名、职位、电话、电子邮箱、单位关系等。
假冒身份
攻击者获取信息后假冒身份,将自我包装成被攻击者的熟人,博取被攻击者的信任、好感或同情。
施加影响
通过一些外在的光环,名人等,博取好感,通过求同,老乡、同学、爱好相同,博取好感,通过互惠原则,赠送小礼品,骗取好处,通过社会认同感、权威专家等施加压力博取认同。
实施攻击
通过以上步骤后,实施最终攻击。
对于网络信息安全,人们的认识通常存在一个误区,就是认为信息系统的安全与软件、硬件、网络等方面相关,而忽视了操作软件、硬件、网络的“人”这个最重要因素。诚然,在技术层面上,可以通过花费人力、物力和财力,建设出更加安全的防护系统,然而一旦出现内鬼或管理员不慎泄露密码,所有的一切都将徒劳无益。
网上银行,通常被认为是技术安全级别较高的,在本文开篇的场景中,密码和手机短信验证码就是典型的安全技术措施,短信验证码是特别为防止犯罪分子盗窃了用户密码而设计的多重身份验证措施,可是在社会工程攻击面前,仍然存在被骗取的可能。
安全防范有三招:人防、物防、技防。在信息安全领域,人防的重要性越来越突出,为帮助各类型的组织机构提升员工的安全意识,形成一道强有力的安全人员防线,应对数据泄露和网络入侵,保护合法的收益免受不法威胁,昆明亭长朗然科技有限公司创作了数百部网络安全教育视频课程以及宣传图片,数百万学员通过我们的作品提升了安全防范意识、信息保密意识及合规守法意识,不仅保护好了自己,也给所在工作单位带来了安全收益。欢迎有类似需求的领导们及信息安全产品厂商、服务商、合作伙伴们与我们联系,洽谈业务合作。
昆明亭长朗然科技有限公司
电话:0871-67122372
手机:18206751343
微信:18206751343
邮箱:[email protected]
QQ:1767022898
