欺骗的艺术——你被社工了吗?

专注IP定位
• 阅读 73

欺骗的艺术——你被社工了吗?

社会工程通过人类交互来完成黑客活动,在网络攻击中,黑客们可以凭借一些细微的线索,比如用户名、图片或者社交平台的动态来完成信息的重新梳理,并以此拼凑出你的个人情况,社会背景等信息,使用心理操纵来诱骗用户犯安全错误或泄露敏感信息。

社会工程攻击发生在网络攻击的一个或多个步骤中。攻击者首先调查目标受害者以收集必要的背景信息,采取行动以获得受害者的信任,并为破坏安全实践的后续行动提供刺激,例如泄露敏感信息或授予对关键资源的访问权限。社会工程的危险的在于它依赖人为错误,而非软件和操作系统中的漏洞。合法用户犯的错误更难预测,这使得它们比基于恶意软件的入侵更难识别和阻止。

本篇文章将详细介绍社会工程攻击方式以及如何进行防范。

社会工程攻击

社会工程攻击有许多不同的形式,可以在涉及人机交互的任何地方执行。以下是五种最常见的数字社会工程攻击形式。

实物/在线诱饵

顾名思义,诱饵攻击使用虚假承诺来激起受害者的贪婪或好奇心,引诱用户进入一个窃取他们的个人信息或给他们的系统带来恶意软件的陷阱。

最受诟病的诱饵形式使用物理媒体来传播恶意软件,比如公司工资单中的标签,电脑桌上的U盘,这些日常中随处可见的工具有可能其实是黑客留下的诱饵。受害者出于好奇拿起诱饵并将其插入工作或家庭计算机中,从而导致系统上自动安装恶意软件。

诱饵骗局不一定要在现实世界中进行,在线诱饵形式包括引向恶意网站或通过一些虚假广告、非法网站鼓励用户下载受恶意软件感染的应用程序。

恐吓软件

恐吓软件涉及受害者受到虚假警报和虚构威胁的轰炸。黑客通过掌握受害者的个人信息,欺骗他们系统感染了恶意软件或遭到攻击,从而促使用户安装真正的恶意软件。恐吓软件也称为欺骗软件、流氓扫描软件和欺诈软件。

一个常见的恐吓软件示例是在您浏览网页时出现在您的浏览器中的看似合法的弹出横幅,显示诸如“您的计算机可能感染了有害的间谍软件程序”之类的文字。从而为用户提供安装工具(通常受恶意软件感染),或者引导用户通往计算机被感染的恶意站点。

恐吓软件还通过垃圾邮件分发,发出虚假警告,或为用户提供购买无价值/有害服务的提议。

信息刺探

该骗局通常由犯罪者发起,假装需要受害者的敏感信息以执行关键任务。攻击者通常首先通过冒充同事、警察、银行和税务官员或其他具有知情权的人与受害者建立信任,并借机提出需要确认受害者身份,通过这些问题收集重要的个人数据。

各种相关信息和记录都是通过这种骗局收集的,例如社会安全号码、个人地址和电话号码、电话记录、员工休假日期、银行记录,甚至与实体工厂相关的安全信息。

网络钓鱼

作为最流行的社会工程攻击类型之一, 网络钓鱼诈骗直接通过电子邮件和短信让受害者产生紧迫感、好奇心或恐惧感,促使他们泄露敏感信息、点击恶意网站的链接或打开包含恶意软件的附件。

攻击者通过发送电子邮件,提醒用户违反政策,需要他们立即采取行动,例如要求更改密码,从而将用户指向非法网站——外观几乎与其合法版本相同——促使用户输入他们当前的凭据和新密码。

网络钓鱼的漏洞在于,攻击者在此过程中项向所有用户发送相同或几乎相同的消息,对于一些有权访问威胁共享平台的邮件服务器来说,可以更容易的发现这些攻击并予以拦截。

鱼叉式网络钓鱼

这是网络钓鱼诈骗的更有针对性的版本,攻击者可以选择特定的个人或企业。根据受害者的特征、工作职位和联系人来定制他们的信息,并且可能需要数周和数月才能完成,但是这种攻击往往更难被发现并且成功率更高。

社会工程学预防

社会工程师操纵人类的感情,通过让受害者产生好奇或恐惧,从而将受害者拉入设计好的陷阱。天上不会掉馅饼,当你在网页或邮件中看到一些令人难以拒绝的优惠时,那大概率可能是个陷阱。保持警惕可以保护自己免受数字领域中发生的大多数社会工程攻击。

• 不要打开来自可疑来源的电子邮件和附件

如果不认识相关发件人,无需回复邮件。即使确实认识他们也要保持警惕,交叉检查并确认来自其他来源的消息,例如通过电话或直接来自服务提供商的网站。即使是据称来自可信来源的电子邮件也可能实际上是由攻击者发起的。

• 使用多因素身份验证

攻击者寻求的最有价值的信息之一是用户凭据,使用多因素身份验证有助于确保您的帐户在系统受损时得到保护。

• 保持您的防病毒/反恶意软件更新

确保使用自动更新,定期检查以确保已应用更新,并扫描您的系统以查找可能的感染。

点赞
收藏
评论区
推荐文章
专注IP定位 专注IP定位
1年前
网安行业这几个熟悉又陌生的名词,啥帽子都清楚啦?
随着网络的普及,黑客、暗网、黑产,网络上不法分子越来越多。但现在从国家到每个人对于网络安全意识越发的重视,魔高一尺道高一丈,白帽、红帽的出现打击了不法分子嚣张的气焰,那么,这几个熟悉又陌生的名词你知道是啥意思么?下面小编带你一起来盘点一下。1、黑产网络黑产,指以互联网为媒介,以网络技术为主要手段,为计算机信息系统安全和网络空间管理秩序,甚至国家安全、社会政治
专注IP定位 专注IP定位
1年前
勒索软件应急处置方法
勒索软件是黑客用来劫持用户资源或资源实施勒索的一种恶意程序。黑客利用勒索软件,通过加密用户数据、更改配置等方式,使用户资产或资源无法正常使用,并以此为条件要求用户支付费用以获得解密密码或恢复系统正常运行。勒索软件防范九要、四不要防范勒索软件“九要”一:要做好资产梳理与分级分类管理清点和梳理组织内的信息系统和应用程序,建立完整的资产清单;梳理通信数据在不同信息
人间小土豆 人间小土豆
12个月前
工信部下架 106 款侵害用户权益APP,包括豆瓣、唱吧等,还有哪些信息值得关注?
此次通报称,依据《个人信息保护法》《网络安全法》等相关法律要求,工信部即日起将对106款违规App进行下架处理,豆瓣便在下架之列,所涉问题为“超范围收集个人信息”。实际上早在11月3日,工信部就曾重点针对App超范围、高频次索取权限,非服务场景所必需收集用户个人信息,欺骗误导用户下载等违规行为进行检查,并对38款存在问题的App进行了通报。当时,豆瓣便因为存
Stella981 Stella981
1年前
Electron应用使用自签名证书进行HTTPS链接
为什么要使用https通俗点讲https就是加密的http,http的链接是明文传输,被黑客截获后可以查看你传输的所有内容,包括用户名、密码等,从而盗取你的帐户信息。使用https,虽然黑客仍能获取你传输的所有数据,但只能看到一堆密文,保证了数据安全。安装OpenSSL非windows用户可
Stella981 Stella981
1年前
DevOps作业要求
DevOps作业要求:请仔细阅读题目的要求,并编写一些程序来创建、配置部署环境并部署相应的软件包。如果你提交了多份解决方案,我们将只评价一种。对于程序语言,我们期望你使用puppet、chef、ansible或者powershell,甚至是ruby、python等。你不能使用外部的程序库或者其他人实现的模块来解决问题,但是你可以使用外部的工具来构建测
Stella981 Stella981
1年前
App开放接口api安全性的设计与实现
前言在app开放接口api的设计中,避免不了的就是安全性问题,因为大多数接口涉及到用户的个人信息以及一些敏感的数据,所以对这些接口需要进行身份的认证,那么这就需要用户提供一些信息,比如用户名密码等,但是为了安全起见让用户暴露的明文密码次数越少越好,我们一般在web项目中,大多数采用保存的session中,然后在存一份到cookie中,来保持
专注IP定位 专注IP定位
2个月前
BGP劫持原理及如何防御
互联网跟人类社会一样,都通过特定的规则和法律来确保社会的正常运行。BGP协议就是互联网中的“规则”之一。BGP用于在不同的自治系统(AS)之间交换路由信息,当两个AS需要交换路由信息时,每个AS都必须指定一个运行BGP的节点,来代表AS与其他的AS交换
好用的在线免费短信接收平台
数据信息安全于我们每个人都有着重要的意义,还记得你常收到的陌生推销或骚扰电话吗?出于论坛资源下载、数据服务试用等现实临时需要,我们有时候不得不注册使用一些可能并不会经常使用的网站或平台服务,手机号码也不可避免的被要求绑定注册,久而久之我们的个人信息被拿捏存储在别人的数据库中,而对于这些被交付的私人数据我们个人目前多半无能为力。​推荐一下我常用的短信验证码接收
Python进阶者 Python进阶者
8个月前
盘点3款高端大气上档次的黑客游戏
大家好,我是IT共享者,人称皮皮。前言每个人心中都有一个黑客梦,也都向往成为一个神秘的黑客,但是成为黑客不是一朝一夕,也不是光说就能实现的,需要我们有大量的计算机知识的积累以及应用,不然可能连黑客的边都摸不到;换言之,给黑客提鞋的资格都没有,比如说小编就是这样一个连提鞋资格都没有的骚年,心中无数次脑补黑客不穿鞋的画面以此来弥补心灵上的创伤。黑客游戏为什么要说黑客游戏?因为我们在成为黑客的道路上曲折离奇,如果让你一个劲的看文档的话,我相信没几个人能坚持吧;于是小编转念一想,通过玩游戏的方式是不是就有趣并
2022年推荐免费在线接收短信平台(国内、国外)
现代社会中大多数人容易忘记密码,因此,为了方便,各大网站或者APP就相继出现以手机号码进行短信验证来注册和登录等操作。但此时,大多个人手机号码都已经是实名认证的,就非常怕存在个人信息泄露的情况。近几年网络平台用户数据泄露事件层出不穷,勿论一般平台,甚至一些全球知名企业也曾被曝出用户数据泄露问题,那基于此我们用户又能做点什么呢?出于这个原因,我们使用可以在一段