社会工程学利用人的弱点或心理来获取系统、数据和个人信息等。它是操纵人的艺术。它不涉及使用技术黑客技术。攻击者使用新的社会工程实践,因为通常更容易利用受害者的自然信任倾向。
例如,欺骗某人提供他们的密码比破解他们的密码要容易得多。在社交媒体上共享过多信息会使攻击者能够使用员工发布的帖子获取密码或提取公司的机密信息。这些机密信息帮助攻击者获得受害者帐户的密码。
社会工程攻击是如何发生的?
网络钓鱼诈骗是当今最常见的社会工程攻击类型。 SET(社会工程工具包)等工具也可以更轻松地创建网络钓鱼页面,但幸运的是,许多公司现在都能够检测到网络钓鱼,例如 Facebook。但这并不意味着您不能成为网络钓鱼的受害者,因为如今攻击者正在使用 iframe 来操纵检测技术。钓鱼页面中此类隐藏代码的示例是跨站点请求伪造“CSRF”,这是一种强制最终用户在 Web 应用程序上执行不需要的操作的攻击。
示例:在 2018 年,我们看到与网络钓鱼电子邮件一起提供的勒索软件的使用大幅增加。攻击者所做的通常是发送一个主题为“帐户信息”的附件,文件扩展名为.pdf/.docx/.rar等。用户通常点击该附件,攻击者的工作就在这里完成。这种攻击通常会加密整个磁盘或文件,然后解密这些文件需要加密货币支付,这就是所谓的“赎金(钱)”。由于其不可追踪的特性,他们通常接受比特币/以太币作为虚拟货币。以下是一些用于通过网络钓鱼执行的社会工程攻击示例:
- 银行链接诈骗
- 社交媒体链接诈骗
- 彩票邮件诈骗
- 工作诈骗
预防
- 及时监控在线账户,无论是社交媒体账户还是银行账户,确保没有发生未经授权的交易。
- 如果有任何可疑邮件,请检查电子邮件标头以检查其合法来源。
- 避免单击来自未知发件人的链接、未知文件或打开电子邮件附件。
- 小心需要个人信息的在线表格链接,即使电子邮件似乎来自某个来源。钓鱼网站在外观上与合法网站相同。
- 采用适当的安全机制,如垃圾邮件过滤器、防病毒软件和防火墙,并保持所有系统更新,反键盘记录器。