防范狡猾的社会工程黑客

安全是一种攻防双方的力量对比,也是一种共生的平衡艺术。对此,昆明亭长朗然科技有限公司网络安全研究员董志军说:在安全领域,警匪一家、养寇自重甚至攻防双方互换身份的情况很常见,网络安全行业也是如此,并不需要对此表示义愤。如同美国总是要在军事方面找一些敌人,甚至私下资助敌对势力一些军火“唯恐天下不乱”,以便不断获得军费预算提升军备水平一样,网络安全行业要发展,黑客也要进击,就是同样一个道理。

话说回来,当下平庸的黑客不容易混饭吃,因为软硬件方面的已有系统漏洞很容易被修复,而新的漏洞并不是菜鸟级“脚本小孩”容易发现的。故而,而纯粹依赖于人性弱点或人类漏洞的黑客群体开始壮大,他们往往则是心理学操控的高手,即所谓的社会工程黑客,依靠不断更新诈骗脚本和流水线式的标准化、系统化诈骗操作,这个群体发展盛行,带来的社会危害很严重,几近打破传统上的攻防平衡共生的关系,让公共安全界以及网络安全界深深感到不安。因为他们不必绕过例如强密码等技术保护,而只需与人交谈即可获取他们想要的利益,包括信息和金钱。到目前为止,人员是所有安全系统链条中最薄弱的一个环节。

通常来说,防范社会工程学黑客是一项社会性的人类工程,所有人都可以通过教育来提高安全性,面对社会工程黑客不断变化的伎俩,更新自己的安全大脑,锻造一双慧眼,保持坚定的安全信念,以“不变应万变”。因此,了解常见的社会工程攻击类型并遵循基本的安全预防措施,是网络时代所有“社会人”必备的江湖行走技能。

常见的社会工程学攻击手法有哪些呢?具体来讲包括多种方式。

1.假托。这是一种制造虚假情形,以迫使针对受害人吐露平时不愿泄露的信息的手段。该方法通常预含对特殊情景专用术语的研究,以建立合情合理的假象。

2.调虎离山。这个多看看抢银行的片子应该就很好理解——押款车既定的路线重重安防,如果让其被迫改道,则实施攻击就容易多了。如果用户电脑上有机密资料,想要获取的有心人可以临时叫用户出去喝杯咖啡,另外的人就可以在其之上进行信息偷窥。

3.钓鱼。这个估计大家也有所耳闻——给用户发封邮件告诉用户由于安全事故可能导致用户某某银行的密码泄露,然后给个链接修改密码。打开的页面是和某某银行的界面高度一致,但实际上是事先构建好的钓鱼网站,用户输入账号密码等信息后便被窃取。

4.下饵。这个手段就多的去了,用户下载的软件,打开的E-mail附件都有可能被注入各种各样的恶意代码。

5.等价交换。攻击者伪装成市场推广人员或者问卷调查人员,通常以企业品牌推广的名义,用小礼品作为交换请求消费者进行微信扫码,悄悄植入恶意程序或盗取信息。

6.尾随。尾随者利用另一合法受权者的识别机制,通过某些检查点,进入一个限制区域。

7.肩窥。通过某人的肩膀来查看,来获取信息。在拥挤的地方,肩窥是获取信息的一种有效方法,因为当别人填表、在ATM机输入PIN码或者在公共付费电话亭使用电话卡时,比较容易站在他旁边观察。

8.垃圾站潜水。当用户不经过任何安全处理,丢弃含有商业机密的企业文件的时候,自然会有人在别人的垃圾中“寻找宝藏”。

正如您所看到的那样,社会工程学依赖于我们的易信度和用于验证人们身份的信息量。不要以为了解常识,您就永远不会被这些技巧所欺骗,要知道即使是精通技术的网络安全人员,甚至公安警察,也容易受到个人信息分享所带来的攻击。当黑客似乎处于权威地位或代表的领导或老板行事时,想逃过魔掌就更难了,

如何避免成为社会工程学黑客的受害者呢?

  • 大部分人并非公安警察,也不是网络安全专家,在避免遭受社会工程黑客攻击方面,我们可以做的最重要的事情就是保持警惕,保持警惕,始终保持警惕。知晓一些常见的技巧可以使我们领先于游戏竞赛,但是切记不要太自以为是,对所有东西保持疑心是行走江湖的关键——小心驶得万年船。
  • 无论是通过电话的、在线的还是面对面的,都绝不泄露任何有关个人或工作单位的机密信息,包括看似并非机密的信息,除非可以验证被问者的身份以及该需求的合理合规性。
  • 永远记住,真正的IT部门、财务服务、人力资源部门绝不会通过电话询问您的密码或其他机密信息。
  • 还有,防范个人信息泄露,充分利用碎纸机并正确销毁个人电子数据和隐私信息。

对于组织机构来讲,需要培训员工并赋能,以令其有意愿、有能力发现社交工程黑客并修复系统的安全性,以防止黑客轻易入侵。为了更好地防护社会工程学黑客,昆明亭长朗然科技有限公司推出了网络钓鱼攻击的基础知识课程,通过学习,学员可以掌握如何防范网络钓鱼、电信诈骗等社会攻击黑客。

总之,社会工程黑客想要打破安全攻防方面的平衡,电信网络新型违法犯罪猖獗,这也怪不了国家网安机关一次次出国“捞人”。对于公司企业来讲,网络空间安全世界不仅仅是自然科学技术方面的利益博弈,也是人文科学技术领域的战场,增强员工们的安全防范意识和思想觉悟,改善组织的安全文化建设,是保护知识产权、商业机密和核心资产的关键措施。如果您对这个话题有话说,或者需要一些网络安全培训和宣教内容,请不要客气地联系我们。

  • 电话:0871-67122372
  • 微信:18206751343
  • 邮件:info@securemymind.com
  • QQ: 1767022898

服务商教坏入侵者给我们什么启示

最近,一家网络安全意识软件公司披露说,他们的模拟网络钓鱼模板设计被黑客利用,对一家知名的IT外包公司发起了攻击。该公司首席执行官称:该黑客“使用他们自己的代码和服务器来下载和复制模拟网络钓鱼模板,作为攻击的一部分,以实施攻击”。

稍后,在媒体面前,为了撇清干系,该首席执行官又补充道,“除了使用模板设计之外,没有证据表明黑客使用了我公司的模拟钓鱼软件产品。”

近些年,网络安全界出现了一个新的产品和服务,就是模拟网络钓鱼。对此,昆明亭长朗然科技有限公司网络安全培训专员董志军表示:这个产品在海外很受企业界欢迎,但是在国内则由于合规性以及敏感性,在关键基础设施行业并没有多少成功的使用,其它竞争性行业往往没有多少网络安全预算,所以很多人并不知晓。说起它的原理,其实就是针对终端用户进行渗透攻击测试。就是像不法分子那样,对目标人员进行社交工程诈骗或网络钓鱼攻击,看他们会不会上钩,并以此来进行安全意识教育。

这其中就会使用到内容模板,这模板就如同电信诈骗中的“话术”一样,是设计来好使“合法用户可以让他们的同事和客户暴露于逼真但模拟的网络钓鱼和社会工程攻击”。比如,针对不同的目标,要编出合适的有针对性的场景“脚本”、虚假网站登录页面以及钓鱼消息模板等等。

但是,这种模拟攻击往往会过滤掉敏感的信息,比如将用户的密码(部分)进行掩盖。真实的不法分子则不会这样,他们显然从“正派”的“网络安全意识软件公司”受到了一些模板创意的启发。从某种意义上讲,这就是正派的安全公司在教唆邪恶的犯罪分子。如同在网络提供网络入侵方法教程一样,您可以自辩说只有人们懂得如何攻击,才能更好了解如何防范,但事实是很多不法分子只拿来用于攻击比他们弱的受害者。所以,在一些努力保护弱者的社会治理环境下,这些渗透攻击相关的培训服务往往被禁止。对此,阿里巴巴集团的安全专员们也有类似的同感和困惑,一些新型的骗局,如果及时公布的话,不法分子往往领悟得更快,结果保护大部分用户免受新型威胁的理想没能实现,反而让更多的“安全弱智”用户成为精明的犯罪分子的受害者。

这种事情不是个案,其实在泛安全行业,很多安全公司和从业者都“唯恐天下不乱”,因为只有乱了才需要治,才会有更多的钱财投入。笔者曾经就职过多家国内外安全公司,经常会有老板经理们私下表示,应该对潜在客户发起黑客攻击,以让其受“教训”之后花钱采购相关安全保护产品和技术服务。

在公共安全及国家安全领域,警匪一家亲,双面间谍的情况很普遍,只是有的可能比较轻微,或者没有被人们发觉。警匪往往有一定的默契,安全人员并不会把犯罪分子赶尽杀绝,以免落得个“鸟尽弓藏、兔死狗烹”的下场,甚至还会纵容、鼓励甚至赞助和参与一些犯罪活动。当然,人民的眼睛是雪亮的,很多人会发现或怀疑自己无辜地受到了保护者的侵害,责骂那些无良的安保者“监守自盗”是没用的,那该如何应对呢?对此,董志军强调:没有别的方法,只有自己强大起来。

不要认为,我们每个人都有自己的使命,并非安全方面的专家。其实普通人只要掌握一些常规的安全防范技能,在国家和社会力量的保护下,就可以轻松应对绝大部分不良的安全“砖家”和不法分子。不要以阿里的个别情况来给自家找无为的借口,阿里是个世界性的大平台,他的绝大部分用户并非自家的员工,甚至还有很多犯罪分子混在用户之中。

一次成功的安全入侵背后,都有大量的安全弱点,做安全应急响应久了,见得多了,就会同意这简直是个真理性的法则。而那些安全弱点,往往都源于人们安全意识的缺乏和安全技能的薄弱。要么人们无知,要么人们违规,不管如何这都表明人们需要足够的安全意识培训。

我们不能仅仅依靠防病毒、防垃圾、防火墙或硬件防御设备。董志军强调说:人是很复杂的动物,当您的网络安全供应商和不法分子沆瀣一气之时,当不法分子从安全服务商那里寻找针对终端人员的入侵灵感之时,您该静心思考,是时候让您的终端用户强大起来了。

昆明亭长朗然科技有限公司多年来从事信息安全意识宣教,我们可以帮助各类型的客户对其员工进行信息安全意识宣教活动,不管您有任何的相关疑问或需求,都欢迎联系我们,共同探讨让用户变得强大,变得更安全、更聪明之道。我们也欢迎业界精英与我们携手并进,合作共赢。

  • 电话:0871-67122372
  • 手机:18206751343
  • 微信:18206751343
  • 邮箱:info@securemymind.com
  • QQ:1767022898