你了解什么是社会工程吗

描述

社会工程

广义上的社会工程(Social Engineering)是一门学科,而我们平常提到“社会工程”时多指网络安全方面的技术。社会工程通过欺骗或诱导受害者犯错,获取重要的私人信息、系统访问权、重要数据和虚拟财产等。攻击者可以利用获取到的社会工程信息进行二次攻击,或者直接出售给他人以获利。

为什么社会工程如此危险

由于社会工程主要针对人们的心理和行为进行欺骗,所以他的成功率非常高。尽管受害者通常会怀疑邮件或电话的真实性,但是由于攻击者精心设计了攻击流程,所以往往人们会作出错误的判断和处置。

事实上,很多安全事件都不是因为网络防护被攻破,攻击者通常会优先选择对人实施社会工程攻击,这比攻击专业的网络安全系统容易得多。这也是为什么我们必须专注于以人为中心的网络安全意识培训,让他们保持对社会工程手段的充分了解,避免堡垒从内部被攻破。

社会工程是如何实施的

为了取得受害者的信任,攻击者通常会按照一定的流程来设计社会工程步骤。

准备阶段:通过收集受害者的背景信息为社会工程做准备,此阶段主要是识别受害者,并确定最佳的社会工程攻击方法

渗透阶段:攻击者开始与受害者接触,并通过一定形式的信息交互来建立信任,实现渗透的目的

攻击阶段:攻击者开始利用工具收集受害者的目标数据,并可能应用获取到的信息发动新的攻击

撤退阶段:当攻击者达到自己的目的后,他们将尽量抹去所有犯罪痕迹,有时受害者甚至都没有察觉已经被侵害

社会工程的常见类型

网络钓鱼(Phishing):最常见的社会工程攻击类型。攻击者通过电子邮件、语音通话、即时聊天、网络广告或虚假网站等形式,窃取机密的个人信息或公司信息

鱼叉式网络钓鱼(SpearPhishing):实际上是一种更有针对性的网络钓鱼

诱饵(Baiting):顾名思义,这种社会工程方式是利用人们对某种奖励的渴望,引诱人们落入陷阱。诱饵与网络钓鱼在很多方面有相似性,但是区别在于诱饵更强调对受害者的“奖励”,所以受害者往往会因为利益的原因而落入攻击者的陷阱。诱饵既可以是物理的,也可以是虚拟的

水坑(WateringHole):水坑的名称来源于自然界的捕食方式,攻击者会通过前期的调查,确定受害者经常访问的一些网站,并在网站上部署恶意程序,当受害者访问网站时即会被感染

语音网络钓鱼(Vishing)和短信网络钓鱼(Smishing):可以算是网络钓鱼的两种方式,前者通过电话实施社会工程,后者通过短信

伪装(Pretexting):主要是利用虚假的身份来欺骗受害者。攻击者通常会假装成处于强大地位的人,迫使受害者按照他的指示来提供重要信息

交换条件(QuidPro Quo):指攻击者依靠信息或服务的交易,促使受害者配合自己的要求,进而获得重要的个人信息

恶意软件(Malware):令受害者相信其计算机中已被安装恶意软件,只有按照攻击者的要求去做,才能删除这些恶意软件

尾随(Tailgating)和背靠背(Piggybackingattacks):指没有授权的人借助其他人的授权,进入受限的区域或系统

如何防范社会工程

要防范社会工程,首先要引导人们改变一些固有行为和意识。当大家都明白社会工程是如何开展的,基于此产生的攻击后果有多么严重,那么人们就会在查阅电子邮件、语音信箱、短信或中小网站时保持一定的警惕和怀疑。

华为如何帮助您免遭社会工程的危害

一般来讲,个人能遇到的社会工程类型主要是钓鱼邮件、鱼叉式网络钓鱼、水坑和诱饵。通过使用华为提供的安全设备和解决方案,包括HiSec安全解决方案、HiSec Insight安全态势感知系统、FireHunter6000沙箱和USG6000E系列防火墙,您可以规避其中大部分社会工程攻击,降低可能产生的损失和风险。

编辑:jq

打开APP阅读更多精彩内容
声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉

全部0条评论

快来发表一下你的评论吧 !

×
20
完善资料,
赚取积分