网络社会工程学攻击(简称社工攻击)就是注重研究人性弱点的黑客手法。一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸多如欺骗、伪装成熟人或者各种身份的人进行自己不为人知的目的、窃取你个人隐私来对你进行伤害等手段和利用AI算法、大数据等取得自身利益的手法。
下面介绍一些关于社工攻击的特征及如何防范社工攻击的方法。
01 钓鱼邮件有什么特征?
钓鱼邮件是网络社会工程攻击(也就是我们常说的社工攻击)的常见表现形式,一般攻击者会发送特定应用场景或目的伪造邮件,同时邮件中包含恶意文件或指向有恶意文件的网站,精力策划的钓鱼邮件一般会诱导访问一个伪造的并且外观极其相似的网站或应用。
比如伪造成人力资源(HR)发给应聘者,或者伪造成客服务投诉文件发给客服,附件带有含有可执行的恶意程序的文件或直接指向含有恶意程序的文件的网站。
比如伪造成平台管理员给用户发邮件说要升级系统功能加强安全性,要求登录进行相关操并诱导到一个外观极其相似的伪造网站。
针对市场人员、采购人员、合规人员一般会发送业务强相关的邮件,比如寻求合作、投标文件、举报等相关的伪造内容。
攻破一个人后,再利用这个人的身份去钓同一个企业的其他人,这样利用熟人和信任关系往往基本上能顺利进行二次钓鱼。
02 不慎点击钓鱼邮件有何后果?
当点击钓鱼邮件后,一般就会运行攻击者精心构造的恶意程序,攻击者就能获取相应的个人信息、账号口令密码、用户登录凭证、敏感信息甚至完全远程控制电脑。
例如:2022年4月1日周杰伦无聊猿数字藏品被钓鱼的事件,就是攻击者通过钓鱼邮件诱导周董访问到仿冒的第三方交易平台并获取了周董的交易授权与凭证。
03 如何分辨钓鱼邮件和钓鱼网站?
分辨钓鱼邮件或网站其实还是需要有一定的技术知识的,但是我们可以提升安全意识来防范,在工作和生活中时刻保持一个合理的善意怀疑,比如不打开陌生邮件或运行来历不明的程序,记住一些重要应用的域名网址,谨防仿冒网站,当打开文件或程序前进行病毒查杀、涉及金钱交易或提供敏感信息和权限时进行二次确认。
04 为何社工钓鱼这样不需要太高技术的诈骗方式能屡屡得手?
钓鱼邮件或钓鱼网站属于社工攻击的一种手段,这种攻击一般是利用人性的弱点,比如人天生乐于帮助他人、有猎奇心态、信任熟人或权威等。更高级的鱼叉式钓鱼或水坑攻击,则是攻击者精心策划并结合多种攻击方法的社工攻击,一但攻击成功后果就比较严重。
05 社工攻击突破了网络安全技术层面上的那些“关卡”?
网络安全的本质是对抗,核心是人与人的对抗。社会工程学攻击可以说是一种绕过网络安全技术防护体系,直接利用人性的弱点进行突破的方法。杭州中尔网络科技有限公司的安全团队也经常参加网络安全攻防演练,事实证明,最容易和直接被攻破的手段就是社工攻击,不需要高精尖的技术有时还可直接利用信息泄露和弱口令。
06 常见的社工攻击手法与方式有哪些?
笔者按网络社会工程学攻击按难度从低到高分成了5个级别,如下表:
级别 | 类型 | 细节 |
L1 | 伪造身份 信息泄露 | 直接索要密码,IP、IQ通通告诉我密码。 验证码,告诉我一下。 利用社工库、大数据、邮箱、网盘、知识库等获取敏感信息。 |
L2 | 漏洞利用 投放木马 | 通过已知操作系统、应用程序的漏洞直接获取权限和数据。 制作木马程序,诱导运行含木马的伪装文件或程序,进行监听或远程控制。 直接投放移动硬盘、U盘,进行定向投放。 |
L3 | 加为好友 邮件伪造 | 利用人性的弱性点(如:猎奇、假冒熟人、求助、领导关怀、求职、招聘、业务合作等)通过即时通信软件加为好友后进行钓鱼,获取信息或远程控制。 通过邮件投递特定主题的内容诱导运行木马或指向仿冒网站获取账号密码。 |
L4 | 鱼叉攻击 APT攻击 | 分析受害人行为,精心设计攻击路径,通过控制其他必经的环节跳转到最终的目标对象。 APT攻击,高级持续的攻击,往往潜服时间很长,又组合使用大量未公开的漏洞或工具。 |
L5 | 杀猪盘 无间道 | 以感情为基础的电信诈骗,一般能使用受害者心甘情愿、至死不渝。 以长期目标的卧底。 |
07 对于企业而言,应该如何保护员工不被攻击攻击?一旦发现危险如何防范?
对于企业而言一般可以从技术和员工安全意识两个层面来有效防范钓鱼攻击。在技术上,可以部署全流量的态势感知、终端安全防护、安全威胁情报、安全邮件网关等相关的安全产品,条件允许的还可以开展攻防实战演练;在安全意识上,可进行安全意识的培训,开展形式多样(比如讲课、案例视频、答题、海报宣传)、按员工岗位分类制订可持续地培训计划。
如果一但发现社工攻击、钓鱼或可疑事件时,及时反馈给企业的IT或安全部门进行快速止损或实施预防补救措施。
08 对于个人网民,在网络世界应该如何社工攻击?事前、事中和事后应该如何应对?
对于个人网民,要提升安全意识,时刻保持一个合理的善意怀疑,特别是在涉及到金钱交易或要求提供口令密码、验证码时。还要定期更改常用口令密码,启用双因子认证,注意个人信息的保护,谨慎对待天上掉馅饼的事情等。如果一但发现或发生钓鱼事件,主动举报并快速采取措施进行止损。