再谈社会工程攻击

阳光明亮的早上,您醒了过来。就像大多数人一样,您匆匆赶到工作单位,检查您的电子邮件和即时消息。您看到一封来自您认识的人的电子邮件,上面写着:您好,我正在为一个很棒的慈善机构筹集资金,需要您的支持,请点击这里,这样我就可以实现我的目标并帮助这么多人。

您想帮助您的朋友,这是一件有价值的事情,所以很自然您就点击了该链接,网站为您提供了登录各大银行和支付宝、微信等账户的登录选项,这是非常方便的功能,所以您很自然地输入其中某家银行的登录名和密码。让您没有想到的是,不一会儿,您收到显示为该银行号码的来电,自称是银行工作人员,说感谢您支持慈善事业,并向您询问登录网银的短信验证码。在您告知对方短信验证码之后,您警觉起来了,甚至后悔轻信对方了。可是这时晚了,您又接连收到几笔转账的短信,这些都不是您操作的!

您通过电话联系到给您发邮件的人,对方称他/她的邮件被人恶意利用了,您已经是第五起受害者了。显然,您遇到社会工程攻击了,犯罪分子精心盗用了他人的邮箱并向您发送了钓鱼邮件,其中含有钓鱼网站链接,通过自先制作了的钓鱼网站,获得了您的网银账号和密码,进一步,冒充银行工作人员,骗取了您的短信验证码,就是突破了网银的双因素验证。

其实,您并不独单,社会工程攻击的实例很多,各行各业都有。昆明亭长朗然科技有限公司网络安全专员董志军说:比如免费软件中捆绑流氓插件、包含病毒附件的垃圾邮件、网络钓鱼、中奖短信、诈骗电话、免费试听课程等,都是典型案例。

社会工程攻击,在信息安全语境下,是一种利用“人性弱点”实施网络攻击,操控人们执行相关动作或泄露机密信息的行为。准确地说,社会工程学不是一门科学,而是一门艺术或窍门,它利用欲望、软弱等人性弱点,令人上当受骗。

社会工程攻击步骤社会工程攻击大致可以分为如下几个步骤:

信息搜集

通过各种手段获取被攻击者非敏感信息,包括被攻击者的姓名、职位、电话、电子邮箱、单位关系等。

假冒身份

攻击者获取信息后假冒身份,将自我包装成被攻击者的熟人,博取被攻击者的信任、好感或同情。

施加影响

通过一些外在的光环,名人等,博取好感,通过求同,老乡、同学、爱好相同,博取好感,通过互惠原则,赠送小礼品,骗取好处,通过社会认同感、权威专家等施加压力博取认同。

实施攻击

通过以上步骤后,实施最终攻击。

对于网络信息安全,人们的认识通常存在一个误区,就是认为信息系统的安全与软件、硬件、网络等方面相关,而忽视了操作软件、硬件、网络的“人”这个最重要因素。诚然,在技术层面上,可以通过花费人力、物力和财力,建设出更加安全的防护系统,然而一旦出现内鬼或管理员不慎泄露密码,所有的一切都将徒劳无益。

网上银行,通常被认为是技术安全级别较高的,在本文开篇的场景中,密码和手机短信验证码就是典型的安全技术措施,短信验证码是特别为防止犯罪分子盗窃了用户密码而设计的多重身份验证措施,可是在社会工程攻击面前,仍然存在被骗取的可能。

安全防范有三招:人防、物防、技防。在信息安全领域,人防的重要性越来越突出,为帮助各类型的组织机构提升员工的安全意识,形成一道强有力的安全人员防线,应对数据泄露和网络入侵,保护合法的收益免受不法威胁,昆明亭长朗然科技有限公司创作了数百部网络安全教育视频课程以及宣传图片,数百万学员通过我们的作品提升了安全防范意识、信息保密意识及合规守法意识,不仅保护好了自己,也给所在工作单位带来了安全收益。欢迎有类似需求的领导们及信息安全产品厂商、服务商、合作伙伴们与我们联系,洽谈业务合作。

昆明亭长朗然科技有限公司

电话:0871-67122372
手机:18206751343
微信:18206751343
邮箱:info@securemymind.com
QQ:1767022898

防范社交电话诈骗套取信息

很多网络欺骗的核心都是犯罪分子通过愚弄我们来骗取我们的钱财,或是诱骗我们向他们泄漏个人信息。除了通过钓鱼邮件来发起攻击之外,犯罪分子还会通过电话来发掘潜在受害者。

通常情况下,我们会收到一个的电话,打电话的人声称自己来自一个代理谷歌、微软、百度、腾讯或是其他合法公司服务的公司。也有假装成熟人介绍来套取关键商业信息的电话,我们一定要非常小心,这种电话最有可能是欺诈电话。

防范电话欺骗

  • 当有人在电话里问我们的个人信息或是让我们干一些事情的时候,一定要小心谨慎并首先确认他们的身份。问他(她)来自哪个公司。如果是我们从未听过的,这个电话很有可能就是一次欺诈。如果是我们所了解的合法公司,那就简单地告诉他(她)现在不方便交谈,并询问他(她)的姓名和员工号,告诉他(她)稍后会打回去。如果对方声称是公司内部员工,但是却是我们没有听说过,也不认识的,我们则可以直接通过公司通讯录找到对方的联系电话号码信息,给他(她)打回去。
  • 如果打电话的人营造紧张气氛,或是给我们施加巨大的压力来让我们马上采取行动,那这很可能就是一个骗局,不要相信他们。
  • 不要仅仅根据来电显示来判断打电话的人,犯罪分子很容易伪造或是做一个假的来电显示信息,从而伪装成是来自一个合法的公司,但实际上却不是。要注意:类似电话黄页之类的查询服务其实很多时候也不会很准确,因为信息可能没有得到更新和维护。
  • 永远不要在电话里说出自己的密码,不会有任何一家合法企业会询问你的密码,我们所服务的公司也不会向我们索要密码。
  • 绝对不要告诉一个组织机构他们本来应该知道的信息。比如,如果是运营商或银行主动给打来的电话,那么他们就应该知道我们登记过的信息。
  • 如果在工作场所接到与工作相关的诈骗电话,立即向您的主管以及安全部门报告,他们会采取正确的举措,以防止其他缺乏戒心的同事上当受骗。

聊聊电话之外的信息诈骗

不得不说这是个竞争异常激烈的国度,商业对手和间谍们会对过各种渠道获取您的信息,以便采取正确的决策和及时的应对行动,最终获得竞争优势。昆明亭长朗然科技有限公司企业安全专员董志军说:假借成客户、合作伙伴等来哄骗行业内玩儿家的关键信息的情况司空见惯,今天要一份方案,将方案重新包装一下成自己的了;明天要一份演示产品,将演示产品拆解模仿一个成自己的了。

如何能识别出真假客户、真假合作伙伴和真假需求呢?这个答案在于从业人员的自我判断。但是对于一家企业机构来讲,要教育员工防范信息诈骗,却是必不可少的保护自有知识产权、客户清单、核心技术、财务机密等等的关键性安全防范措施。

希望我们的一些建议和倡议能帮助您。昆明亭长朗然科技有限公司通过提供大量的安全、保密与合规性培训教程资源,来持续不断地帮助客户修复人员认知方面的安全漏洞,降低由于人为错误而带来的安全风险。我们创作了大量的安全政策、标准、制度和流程相关的宣传物,包括电子图片、动画短片、卡通漫画等等。欢迎有兴趣有需求的安全界人士联系我们,洽谈商业合作。

昆明亭长朗然科技有限公司

  • 电话:0871-67122372
  • 手机:18206751343
  • 微信:18206751343
  • 邮箱:info@securemymind.com
  • QQ:1767022898