小议社会工程学攻击及防范策略

近期,我们接触了不少大中型机构的网络安全负责人,他们都表现出对社会工程学攻击防范的兴趣,当然大多数负责人都希望能有详细的教程,来防范各种类型的社交工程攻击。甚至还有负责人给我们列出一个详细的社会工程攻击防范思维导图,里面有几十种不同向量的攻击设想。对此,昆明亭长朗然科技有限公司信息安全研究员董志军感叹道:看样子,市场和客户对社会工程学防范的认识度已经很高了。

尽管如此,也仍然有大量的安全从业人员认为黑客行为主要是使用恶意软件和编码绕过安全防护并窃取数据或金钱的行为。社会工程学骗子只是采用了低级的没什么技术含量的方法,以人为目标而不是软件为目标,是小菜一碟,不值一提。

不管如何,对任何事物,有不同的见解,有不同的声音,这样的世界才是正常的、稳定的和可靠的。因此,我们安全管理者不必要说谁对谁错,用自己认为正确的观点去压制有不同观点的安全技术人员,安全技术人员们那样认为,是由于他们不在管理岗位,当然会选择性地忽视非自己核心技术能力的领域。每个人都有自己的认知圈,这个世界很大,不必要强求他人和我们一样,只需“和而不同”。

话说回来,社会工程学骗子也是利用人类行为的知识来进行攻击的。一个人的偏见、假设、信念等可能使攻击者诱骗他们做一些符合攻击者利益的事情。这就是人们常说的:社会工程领域是基于心理学和行为学的。

研究发现,在如下一些情况下,人们更有可能遵守要求和付诸行动:

  • 要求由权威人士提出;
  • 请求者与受害者一样具有相似的兴趣、信念和态度;
  • 请求者给予或承诺给受害者一些有价值的东西,以换取他们的帮助;
  • 请求者提出的某种原因是受害人公开认可的;
  • 如果受害人符合要求,将与其他人的行为相符;
  • 请求者要求临时或短时内使用;

社会工程骗子意识到这些人为偏见,并以各种方式加以利用。通过针对人为因素,他们绕过旨在防止“常规”黑客攻击的技术型防御措施,从而增加了成功攻击的可能性。

社会工程学攻击可以通过任何渠道进行。这些路子五花八门,包括互联网、电话或面对面交谈等等,来绕过组织机构的网络防御。接下来,我们将简要介绍一些最常见的社交工程攻击类型。

基于网络的攻击

互联网使网络攻击在全球范围内成为可能,有多种基于网络的社会工程攻击手法,构建一个钓鱼网站是最常见的攻击方式。

水坑式绕道攻击

在水坑攻击中,黑客利用人们的习惯来攻击他们。当准备攻击特定目标时,攻击者会观察他们的浏览习惯,以识别他们通常访问的站点的类型。例如,当定位财务人员时,他们可能定位到税务服务或类似的站点。然后,攻击者会破坏目标站点,并迫使其向用户提供恶意内容,或创建用户可能访问的恶意站点。最终,用户访问该站点并受到入侵。

基于消息的钓鱼

网络钓鱼是社会工程学中最常见的类型。不过,大部分网络钓鱼都是从钓鱼邮件或钓鱼短信开始的。通常,这意味着让最终用户单击恶意链接进入钓鱼网站或下载并打开恶意附件。网络防御者们不断开发出识别和阻止网络钓鱼电子邮件的方法,同时黑客也不断创造出逃避这些保护的新方法,博弈态势在不断变化之中。

基于电话的攻击

基于电话的社交工程攻击常被简称为电信诈骗,它基于模仿目标用户想要与之交谈的某人,冒充政府、邮递、公安和银行是常见的选择。

基于电话的针对企业职员的一种特定社交工程类型是帮助台诈骗。攻击者伪装为目标组织的IT帮助中心成员,利用各种借口使攻击者告诉用户在其计算机上采取某些操作。

面对面的攻击

尽管甚至网络和电话系统可以从任何地方进行网络攻击,但有时面对面的攻击最为有效。假冒身份现场面对面沟通对攻击者而言非常有用,与通过电话或电子邮件相比,人们更有容易向身边聊天的人泄露敏感信息。

基于场所的攻击

对公司办公室的物理访问可以为攻击者提供大量有价值的数据。通过组织的会议室的白板上、办公室的桌子上、未锁定的计算机、未及时取走文档的打印机复印机……攻击者可以潜入内部,轻易窃取敏感数据和非常有用的信息。

为了利用这些机会,攻击者需要能够进入大门。尾标是完成此操作的最常见方式。一般而言,大多数人都很友善,并希望帮助他人,尤其是那些背着沉重的电脑包,行色匆忙的人。

免受社会工程学攻击

社会工程骗子利用人们的想法进行攻击,其中有许多是在潜意识层面上发生的,因此很难从技术层面识别和防御社会工程学攻击,要应对潜意识层面的攻击,也需得从意识层面入手。

社会工程学归结为试图执行未经授权的行为。对此,董志军借用一家知名客户总结出来的三步法,分享与您,用来应对各种请求:

  • 验证该人是其所声称的人
  • 验证该人是否有权提出请求
  • 确认您自己是否有权提供

如果您可以验证所有这三个条件都是符合的,则可能与社交工程攻击无关。总之,有人向您索取公司信息或帮助时,花点时间放慢脚步,并遵循适当的流程是保护自己免受社交工程师攻击的最佳方法。

昆明亭长朗然科技有限公司推出了专门针对职场人员的社会工程学防范意识课程,欢迎有需要的客户或伙伴们联系我们,洽谈合作。当然,如果您对文中的这个话题有兴趣或者有自己的观点看法,欢迎联系我们,以进一步深入探讨。

  • 电话:0871-67122372
  • 手机:18206751343
  • 微信:18206751343
  • 邮箱:info@securemymind.com
  • QQ:1767022898

警惕“年轻靓丽、努力生活”的女性

从“卖茶小妹”、“实习护士”到“虫草姑娘”,有时真挺佩服诈骗团伙的编剧能力,当然,还有他们对整个社会阶层和人性的深度洞察力。昆明亭长朗然科技有限公司信息安全专员董志军说:初次看到清纯的“卖茶小妹”的微信,我还真准备买两包茶叶呢,觉得这样既帮助了他人,又使自己获得了好产品,多和谐美好的一件事儿呀。幸好手痒上网一搜,才发现是个骗局,顿时觉得自己侥幸。尽管也为自己的一时感性觉得难堪,但是仍然认为有份善心对待这个世界,自己的内心至少是无愧的。

再次在微信上碰到漂亮的“实习护士”,我已经猜出来人是不正常的了,虚拟的美女萌妹,她的真身或许就是人们常讲的“抠脚大汉”,决定看一看对方如何表演。果真一翻该人的朋友圈,这么多护士工作照,好鲜活的一个职场新人!聊天起来,果真套路上演,刚到新城市人民医院实习,就与渣男分手,要借钱给母亲买票!我要是个单身男,或许也会想这是个找女朋友的好机会。

后来又看了新闻上披露的“虫草姑娘”,尤其是结尾处反诈骗探长和警方的提醒,觉得很涨知识。有的被害人出于对“虫草姑娘”遭遇的怜悯,在汇款几万后甚至不要求对方寄送虫草实物。我们不得不相信这些人真是道德高尚的中产阶级,生活事业中的成功者。

看到“虫草姑娘”骗局被曝光,我却高兴不起来,因为世界上可卖的东西太多,可编的故事也太多。仔细分析这些骗局,骗子不但会利用人们感情的弱点,懂得心理学,也很了解社会学。这种骗局如果对穷人或恶人来实施,相信不会得到结果,说明相对于改开初期,近年来人们普遍富裕了、善良了,当然人们也更加忙碌和更加孤独了。

如何防范更多类似的诈骗呢?显然,这是个社会性的问题,仅仅依赖信息安全防范技术措施是不充分,甚至远远不够的。对人们进行反诈骗意识教育才是关键,如何帮助人们了解尚未出现的新骗局呢?俗话说,万变不离其宗,反诈骗探长和警方人员往往都是这方面的专家,他们会总结出一些共性的特点并提醒人们,只是我们细想一下,这种仅仅靠新闻来进行的反诈骗科普足够吗?

更多关于反诈骗的思考

首先,我们得肯定在一个好的社会中,人们有爱心、同情心、怜悯心、恻隐之心,是多美好的。如果仅仅是为了打击网络诈骗集团,就教育人们处处把别人想得很坏,处处提防着他人,那政治上讲不过去,因为不符合社会主义核心价值观,经济上也不值得,咱们人类进化就是为了人与人之间能更友爱,世界才更光明。问题在于:如果我们不能对邻居敞开大门,那为何要对不认识的陌生人那么好呢?

其次,骗子通过找模特拍照或购买美女套图的方式来构建虚拟的人物和场景,这些“姑娘”通常都适合大众审美的标准。咱们也不能鼓励人们“小心美女”,毕竟追求美好是人们的天性。话虽如此说,问题就在这里面,美女不真实,注意一下细节,就会发现那些衣着和打扮与她们应有的身份不切合。我给您说说十多年前,在中国南方接近香港的现代化大城市里,我经常看到有衣着光鲜的“美妈”背着吮吸高档奶瓶的婴儿,趴在垃圾桶里边掏吃着精致盒饭来乞讨,您就明白是怎么回事儿了。

最后,热爱工作、努力生活、积极向上,简单、真实、励志的人物和故事,太符合我们这个社会所倡导的主流价值观了。不过要仔细想想,经不起推敲,太过于理想。社会现实往往是残酷的,真实存在的事物往往符合经济规律,要卖茶找正规渠道去销售,要借钱找同事找领导哇,在微信上通过添加陌生人卖货或借钱那生意不规矩!另外,生活往往很无趣、工作也很乏味、大多数情况下人们的状态也是消极被动懒散的。

说了这么多,其实骗局虽然来自于社会学、心理学等方面的研习和使用,破绽也在于社会学和心理学。动动脑子,就不容易上当了。当然,更多的人可能没有时间动脑子深入探讨和分析碰到的是不是骗局,这就需要更多的反诈骗宣传教育啦。

昆明亭长朗然科技有限公司是安全意识宣教领域的领航者,如果您有任何相关的安全问题,或者对安全意识有意见或建议,都欢迎您随时联系我们。如果您需要评估或采购安全、保密与合规相关宣教培训内容,也欢迎不要犹豫地给我们一个电话或消息。

昆明亭长朗然科技有限公司

  • 电话:0871-67122372
  • 手机:18206751343
  • 微信:18206751343
  • 邮箱:info@securemymind.com
  • QQ:1767022898