📅  最后修改于: 2020-12-06 12:13:35             🧑  作者: Mango
让我们尝试通过一些示例来理解“社会工程学”攻击的概念。
您一定已经注意到旧的公司文件被当作垃圾扔进垃圾箱了。这些文档可能包含敏感信息,例如姓名,电话号码,帐号,社会安全号码,地址等。许多公司仍在传真机中使用复写纸,一旦纸卷结束,其碳会进入垃圾箱,并可能留下痕迹。敏感数据。尽管这听起来不太可能,但是攻击者可以通过在垃圾中偷窃来轻松地从公司垃圾箱中检索信息。
攻击者可能会与公司人员成为朋友并在一段时间内与他建立良好的关系。这种关系可以通过社交网络,聊天室在线建立,也可以在咖啡桌旁,操场上或通过任何其他方式离线建立。攻击者将办公室人员带入机密信息,最后在不提供任何线索的情况下挖掘出所需的敏感信息。
通过伪造身份证或简单地说服员工自己在公司的职位,社会工程师可以假装自己是雇员或有效用户或VIP。这样的攻击者可以获得对限制区域的物理访问,从而提供了进一步的攻击机会。
在大多数情况下,攻击者可能会在您周围,并在您键入敏感信息(例如用户ID和密码,帐户PIN等)时进行肩膀冲浪。
网络钓鱼攻击是一种基于计算机的社交工程,攻击者在其中制作看似合法的电子邮件。这样的电子邮件与从原始网站收到的电子邮件具有相同的外观,但是它们可能包含指向假网站的链接。如果您不够聪明,那么您将键入您的用户ID和密码,然后尝试登录,这将导致失败,并且到那时,攻击者将拥有您的ID和密码来攻击您的原始帐户。
您应该在组织中实施良好的安全策略,并进行必要的培训,以使所有员工都知道可能的“社会工程学”攻击及其后果。
切碎文档应该是您公司中的强制性活动。
再次确保您在电子邮件中收到的任何链接均来自真实来源,并且它们指向正确的网站。否则,您可能最终成为网络钓鱼的受害者。
要专业,在任何情况下都不要与他人共享您的ID和密码。