您的位置:首页 > 行情 > 正文

社会工程 商业专业人士的备忘单

发布时间:2020-06-01 10:45:10  编辑:  来源:

我们不像电脑那样操作——它们只做被告知的事,根据一套指令执行任务,而没有能力批判性地评估给出输入的人的诚实或善意。至少,这是我们和机器的不同之处。

但事实并非如此:尽管我们拥有做出批判性判断的智慧和能力,但我们也倾向于只看表面,而不考虑让我们做事的人是否诚实。黑客们已经学会了这一点,并将其转化为一个称为社会工程的过程。

这种人肉黑客策略并不新鲜:几个世纪以来,骗子们一直在表演社会工程技巧。在网络犯罪和网络诈骗盛行的时代,社会工程已经变得更具威胁性:骗子们现在可以不需要说一个字就能找到你并欺骗你,它正成为获得非法访问安全系统的首选方法之一。

参见:安全意识和培训政策(TechRepublic高级版)

安全咨询公司Social Engineer, Inc.用难以置信的基本和宽泛的术语定义了社会工程:“任何影响一个人采取行动的行为,可能是也可能不是他们的最佳利益。”

这个定义可能看起来很普遍,但那是因为社会工程攻击有多种形式,包括使用计算机和在物理世界中。有了上面的定义,很明显,几乎每一个安全事件都至少从某种社会工程开始。

所有这些技术都呈现出一种假象,使人在不知情的情况下做一些违背他们最佳利益的事情。

社会工程师也不需要成为计算机科学家:如果你有敏捷的头脑、良好的软技能、批判性思维能力、能像坏人一样思考,并做好研究,你完全有可能成为一名成功的社会工程师。

社会工程被黑客、渗透测试者、虚构的动作英雄、间谍和骗子所使用。即使是善意的人也会为了实现积极的目标而设计一些情境——例如,我认为任何有孩子的人都在撒谎,让他们的孩子做他们想做的事。

在网络安全方面,社会工程可能会让企业声誉、政府机密和个人损失数十万美元。

额外的资源:

现实生活中成功的社会工程攻击的例子比比皆是,我们可以深入历史,找到真实的社会工程技巧的例子,比如维克多·勒斯蒂格(Victor Lustig)延续下来的例子,他假扮成一名法国官员,成功地把埃菲尔铁塔当废铁卖掉——不止一次。

但是没有必要回到模拟时代去寻找成功运行社会工程技巧的例子——有很多可以选择的例子。

这些只是社会工程攻击真实目标的几个例子,这些攻击产生了真实的后果,还有更多的例子。

一个快速的谷歌搜索,你会发现许多关于成功的社会工程攻击的故事,并且有很好的理由:估计98%的网络攻击是通过社会工程发起的,这使得它比黑客直接利用目标更有威胁。

额外的资源:

没有两条路可走:每个人都有成为社会工程攻击目标的风险,而且这些攻击越来越成功。来自安全研究公司CyberEdge的数据显示,越来越多的攻击正在逐年发生,2019年达到78%。

社会工程是成功的,因为它是如此的阴险。当电子邮件来自被认为是监督者、政府官员或其他权威人物的人时,它会利用人们的帮助愿望或固有的信任。

参见:TechRepublic的所有备忘单和聪明人指南

社交工程攻击的形式多种多样,比如钓鱼邮件、模仿合法页面的酒吧网站,以及技术含量较低的攻击,比如打电话给服务台,诱骗他们重新设置用户的密码。

如果你能访问一个安全的系统,你就是一个潜在的目标。

如果你在公众的视线下工作,你的名字是众所周知的,你的联系信息很容易被发现,你就是一个潜在的目标。

如果你很富有,你就是潜在的目标。

如果你在服务台或呼叫中心工作,你就是潜在的目标。

如果你有任何类型的个人信息被锁定在互联网密码之后,你就是一个潜在的目标。

简而言之,每个人都可以成为社会工程师的目标,不管你是否属于上述类别。如果你是现代互联网连接世界的一部分,你需要提防社会工程师,无论是面对面的、通过电话的,还是通过间接的数字形式的交流。

额外的资源:

社会工程攻击可以有很多不同的角度,所以个人和组织需要做很多事情来保护自己。

许多社会工程攻击依赖于对目标的了解,还有什么比社交媒体更适合收集这些信息呢?

IBM首席人事黑客斯蒂芬妮·卡拉瑟斯警告不要在公共场合发布敏感信息:“想想你在发布什么。你真的需要告诉每个人你要去度假吗?”

一些看似无关痛痒的事情,比如发布一张孩子生日聚会的照片,就会给社交工程师带来几次安全问题尝试、PIN密码尝试和密码猜测。去度假,谈论你最喜欢的书和电影,讨论你在哪里遇到了你的伴侣——所有这些事情都是你在网上公开发布给攻击者的信息。

为了安全起见,确保你的个人资料中没有这类信息,并且是面向公众的,或者是被锁定的,这样陌生人就看不到你不想让他们看到的东西。

卡拉瑟斯还建议人们在网站上查看可能公开的个人信息,比如地址、电话号码等,并要求删除这些信息。此外,订阅haveibeenpwned这样的网站,它会把数据从入侵中整理成可搜索的格式,并在用户的信息在网上被发现时通知用户。

尽你所能来确保你的个人信息是不可用的,额外的安全,确保你没有使用容易猜到的信息作为密码,安全回答问题,或密码提醒。

IT部门应该确保电子邮件过滤器已经到位,以阻止垃圾邮件和网络钓鱼企图,所有员工都应该接受培训,以识别网络钓鱼和其他形式的社会工程。确保人们知道要注意哪些危险信号,特别是当他们处于与潜在的社会工程师互动的位置时。

用户应该训练问题他们不认识任何人,并质疑如果他们在他们通常不会去质疑或被质疑是不舒服,但这是最好的答案和了解同事的需求比负责让黑客走前门。

制定一些政策,让社会工程师在数字或物理上更难进入。确保密码又长又复杂,迫使用户定期更换密码,要求双因素身份验证,阻止用户在不在办公室时做某些事情,并确保严格控制物理访问工具,如RFID卡和密码。

考虑聘请安全公司对您的组织进行社会工程审计也是一个好主意。审计可以告诉你,你是否为攻击做好了准备,你的弱点在哪里,以及如何安全防范那些实际上想要伤害你的社会工程师。

当面对潜在的欺诈电话、网络钓鱼邮件、油嘴滑舌者和伪装的攻击者时,这似乎是无法克服的,但事实并非如此:只需要知道什么是敏感信息,控制信息的共享方式,并在出现问题时保持清醒即可。

这些策略不会消除你成为社会工程受害者的机会。我并不是在危言耸听,但没有什么能真正阻止一个有决心、有技能的社会工程师。

通过设置每一个可能的进入壁垒,你可以大大降低成为受害者的可能性:不要把对抗社会工程想象成堵上每一个可能的漏洞,而更像是让攻击变得比它的价值更麻烦。每个人都有责任确保自己、朋友和同事不会被愚弄。

标签:社会工程
版权声明:转载此文是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢您的支持与理解。
版权声明: 本站若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢您的支持与理解。转载文章是出于传递更多信息之目的。
版权所有: 阜新生活网 ·(2019-2021) .闽ICP备20009870号-2. 联系QQ:173 0547 905 .