了解密码安全的术语:什么是社会工程

并非所有复杂的网络安全攻击都必须包含恶意软件或编码。有时候,操控人类最基本的情感,如恐惧、贪婪、信任或者紧迫感,就足够了。了解黑客如何利用社会工程技术来诱骗您泄露敏感信息

什么是社会工程?

社会工程是一组不同类型的攻击,利用人类心理学从中获取敏感信息。此类攻击通常会操控受害者的情感,如恐惧、信任、贪婪、压力和紧迫感。强烈的情感会搅乱他们的判断,而他们会变得更愿意泄露在正常情况下不会泄露的信息。

黑客可以利用各种社会工程技术来获取个人信息,如登录凭据、密码、银行账号、社会保险号等。这些详细信息可以帮助他们访问您的网络、窃取您的资金或您的身份。这些数据也可用于未来的攻击

黑客热衷于社会工程攻击,因为执行这些攻击比恶意软件攻击更简单,而且成功率也更高。事实上通过一些社会工程策略,黑客甚至不需要知道如何编码!

社会工程攻击的类型

网络钓鱼

网络钓鱼可能是最常见的社交黑客技术。网络钓鱼诈骗可以出现在许多平台上——电子邮件、聊天、网络广告或网站。但是,大多数情况下,黑客会使用网络钓鱼电子邮件诱骗您下载恶意软件或点击会提取您数据的恶意链接。它们旨在用难以抗拒的交易来吸引您,用安全威胁恐吓您或操纵您的信任。

此类社会工程示例可能为:

  • 收到一封与彩票相关的电子邮件,告知您中了一百万,并要求您点击链接来申领;

  • 银行与您联系,询问您一笔从未获得的贷款,并要求您确认您的付款详情;

  • 或者一家快递公司通过电子邮件向您发送发票,并要求您立即支付。

鱼叉式网络钓鱼

鱼叉式网络钓鱼与网络钓鱼类似;然而,它更加复杂,因此其成功率也更高。网络钓鱼电子邮件和诈骗可以针对黑客一无所知的数千人实施。通过鱼叉式网络钓鱼,黑客选择了一个特定目标:一个人或一家公司。然后,他们进行研究,了解受害者,并制定万无一失的策略,以提取数据。

例如,新入职的会计员可能会收到一封来自首席执行官的电子邮件,他/她希望将一大笔钱发送到国际合作伙伴的账户中。电子邮件里指出,必须立刻转账。如果这名新员工不了解公司的常规流程,或者不知道对老板有何期望,他/她很可能会转账给黑客。

假托

如果网络钓鱼主要利用人的恐惧和紧迫感,那么假托正好相反——它利用的是人的信任。顾名思义,假托使用可信的借口或故事,帮助与受害者建立融洽的关系,而且不会让对方产生任何怀疑。假托既可以在线上使用,也可以在线下使用。例如,黑客可以冒充审核员,说服您让他/她进入服务器机房。或者,他们可以假扮您的银行经理给您致电,要求确认您的付款详细信息。

诱骗

USB密钥陷阱在使用诱骗手段时,黑客会利用您无法抗拒的对象或交易,感染您的设备或整个网络。以前,他们可能把一个 USB 丢在停车场,上面写着“第四季度高管薪酬”,这会吸引任何人的注意。如今,您更有可能在 P2P(点对点技术)平台上遇到诱骗手段。想要下载一集高清版《权力的游戏》吗?但是,您能确定那不是一个特洛伊木马吗?

交换条件

在交换条件攻击中,黑客为您提供了诱人的报价,但要求您提供一些回报,最常见的是交出您的个人数据。对方可能是一位您从来不认识的“叔叔”,这位“叔叔”想要给您转一大笔钱;您需要做的就只是告诉他您的银行信息详情。或者,也可能是一位您从未联系过的“IT 专家”,这位“专家”善意地提出要帮助您修理笔记本电脑。然而,他们需要的就是远程访问您的设备。

恐吓软件

如果您访问不安全的网站(HTTP 而不是 HTTPS 网站),您可能会遇到广告或弹出横幅,通知您恶意软件感染。这不是来自您杀毒软件的弹窗,但是,它敦促您下载能够除掉这个恶意病毒的唯一软件。问题是,它提示您要下载的软件其实本身就是恶意软件;这就是它被称为恐吓软件的原因。

尾随

尾随方式一定程度上与假托手段类似。然而,前者的主要目标通常是进入一个有安全防护的建筑,它不需要太多的研究。黑客可以尾随,换句话说,通过冒充送货司机并进入建筑物来“获得便利”。他们也可以简单地尾随一个不质疑陌生面孔的员工。

如何保护您自己

保护自己免受社交黑客的攻击似乎很困难,任何人都可以落入骗局。但是,您可以执行一些简单的操作来防止、识别和阻止此类攻击的发生。

  1. 使用有效的杀毒软件,保持更新。

  2. 对一切事物都保持一定的怀疑。如果交易太完美,简直难以置信,那么很可能它就是假的。

  3. 不要着急,行动之前调查事实。如果您不确定是否是真实的交易或是合法的请求,请直接联系公司或您的老板。

  4. 不要点开可疑的电子邮件、点击可疑的链接或下载可疑的附件。

  5. 让自己熟悉公司的隐私和安全政策。不要让陌生人进入安全区域,盘问他们。

  6. 不要与他人共用计算机,不使用计算机时要锁好。

  7. 将垃圾邮件过滤器级别设置为高。

  8. 使用双因素认证。即使黑客持有您的登录凭据,他们也无法进入您的账户,因为他们需要通过第二重确认步骤。

  9. 教授员工和同事如何识别社会工程攻击。

通过订阅以下免费的每月通讯,了解有关网络安全的更多信息以及如何保护您的密码安全。

Chad Hammond
验证作者
Chad热爱旅行和技术。他的全球化视野和开放性思维为各种安全性话题增添了有趣的视角。他曾造访过 80 余个国家,而且并不打算近期停下旅行的脚步。