黑客的最高境界——社会工程学!
社会工程是一种操纵技巧,目的是让人们泄露机密信息。这类犯罪行为所追求的信息类型各不相同,但当个人成为攻击目标时,罪犯们通常会诱使受害者向他们透露密码或银行信息,或者在不知情的情况下让他们进入受害者的计算机并安装恶意软件。这样他们就可以获取受害者的密码、银行信息并控制其计算机。
犯罪分子之所以采用社会工程手段,是因为利用人们天生的信任感通常比找到破解软件的技术手段来得更简单。举个例子,欺骗某人泄露他们的密码,比你尝试破解他们的密码要容易得多(除非那个密码非常弱)。
安全的本质在于知晓何时信任他人以及何事。关键是分辨何时应该或不应该相信别人的话,以及判断与你交谈的人是否真的是他们所声称的那个人。这同样适用于在线互动和网站使用:你如何判断所使用的网站是否合法,或者是否可以安全地向其提供你的信息?
任何安全专家都会告诉你,安全链条中最脆弱的环节是那些只根据表面现象就轻信他人或情况的人。你的门窗上安装了多少锁、插销,你家是否有看门狗、报警系统、泛光灯、带刺铁丝的围墙或武装保安,这些都不是最关键的;如果你轻信那个自称是送披萨的人,并在不先核实其身份的情况下就让他进门,那么你就会完全暴露于他可能带来的任何风险之下。
一、社会工程学的攻击是什么样的?
1、来自"朋友"的电子邮件
当黑客通过社交工程手段破解或获取某人的电子邮件密码时,他们便能够访问该人的联系人列表。而且,由于许多人在不同平台上使用相同的密码,黑客还可能能够访问该人的社交媒体联系人。
如何提高Linux系统安全性提升Linux安全的关键策略,包括系统更新、使用复杂密码、防火墙配置等。如何在Linux操作系统中实施有效的安全系统工程,确保数据和资源的安全?
https://fostmar.online/archives/294/一旦黑客控制了这个电子邮件账户,他们就会向受害者的所有联系人发送含有恶意链接的邮件,甚至在受害者和他们朋友的社交媒体页面上发布带有恶意链接的消息。
这些消息利用了你的信任和好奇心,可能包含:
- 一个链接: 你可能会点击它,因为它来自一个“朋友”,你对其内容感到好奇。点击该链接后,你的电脑可能会被恶意软件感染。随后,黑客可以接管你的计算机,获取你的联系人信息,并以与你相同的方式欺骗他们。
- 带有嵌入恶意软件的图片、音乐、电影或文档: 如果你下载这些文件,你可能认为它们来自你的朋友,但实际上你的电脑会被感染。这样,黑客就可以访问你的电脑、电子邮件账户、社交媒体账户和联系人列表,攻击也会扩散到你认识的每个人。
2、钓鱼攻击
网络钓鱼攻击是一种常见的社会工程手段,它通过模仿可信来源并构建看似合理的场景来诱骗人们交出登录凭证或其他敏感信息。据 Webroot 的数据显示,金融机构是这类攻击中最常被冒充的目标。Verizon 的年度数据泄露调查报告也表明,包括网络钓鱼在内的社会工程攻击导致了大多数成功的数据泄露事件。
网络钓鱼攻击常用的手段包括:
- 紧急求助信息: 例如,一封声称您的“朋友”在某国遭遇抢劫、受伤,现需资金帮助以便返回家园的邮件。
- 看似合法的网络钓鱼尝试: 攻击者可能会发送伪装成来自知名公司、银行、学校或机构的电子邮件或消息。
- 捐款请求: 这些邮件可能会要求您为某些紧急灾难、政治运动或慈善活动捐款,其中包含了如何将资金转给攻击者的指南。
- 信息验证请求: 这类邮件通常包含一个链接,要求您点击以“验证”信息,但实际上链接到一个看似合法、却是假冒的网站,诱导您提供个人信息。
- 中奖通知: 这种类型的邮件可能声称您赢得了彩票、继承了遗产或成为某个网站的幸运访问者,要求您提供银行或个人信息以领取“奖金”。
- 冒充上司或同事: 这类邮件可能要求公司项目的更新、付款信息,或其他看似正常业务的查询,但实际上是企图获取敏感信息或资金。
3、诱饵场景
诱饵场景是社会工程攻击中的一种常见手段,攻击者通过提供人们渴望的东西来吸引受害者上钩。这类攻击通常出现在提供热门电影或音乐下载的点对点网站上,但也可能出现在社交网站、通过搜索结果发现的恶意网站等地方。
此外,这些诈骗计划可能在分类广告网站或拍卖网站上发布令人难以置信的优惠。为了让人们放松警惕,这些广告可能会展示卖家的高评级,但这些评级实际上是提前设计和制造的。
上当的人可能会感染恶意软件,这种软件可能会对他们自己和他们的联系人制造出新的安全漏洞。他们可能会在没有收到购买物品的情况下损失金钱,甚至如果他们愚蠢地使用支票支付,可能会发现自己的银行账户被清空。
4、回答问题
“回答未提出的问题”是另一种常见的社会工程策略。犯罪分子可能会假装回应您向某公司提出的“帮助请求”,同时也提供更多帮助。他们会选择那些拥有数百万用户的大公司,如软件公司或银行。如果您并未使用该产品或服务,您可能会忽略这些电子邮件、电话或消息,但如果您恰好使用该服务,那么您很可能会回复,因为您可能确实需要帮助解决某些问题。
例如,即使您知道自己最初没有提出问题,但如果您的计算机操作系统存在问题,并且有机会免费修复它,您可能会抓住这个机会。一旦您作出回应,您就已经相信了对方的故事,给了他们您的信任,并使自己易受攻击。
这个所谓的“代表”实际上可能是一个犯罪分子,他们可能会要求您“验证身份”,让您登录到“他们的系统”,或登录您的计算机,并允许他们远程访问您的计算机,以便“帮助”您修复它,或者指导您输入一些命令来自行修复——但他们告诉您输入的这些命令可能会为犯罪分子稍后重新访问您的计算机打开后门。
5、制造不信任
社会工程的一种形式是制造不信任或引起冲突。这种行为通常由对你怀有愤怒的熟人实施,但也有可能是出于纯粹恶意,意图造成严重破坏的人所为。他们的目标是在你心中培养对他人的不信任,然后趁机扮演“救星”以赢得你的信任,或者是作为勒索者,利用操纵信息来威胁你。
这种社会工程通常开始于获取对你的电子邮件账户、即时通讯客户端、社交网络、聊天室或论坛等通信工具的访问权限。他们可能通过黑客攻击、社会工程手段或简单猜测弱密码来达成目的。
接着,施害者可能会使用基本的编辑技术来篡改敏感或私人通信内容(包括图像和音频),并将这些内容发送给其他人,以制造戏剧化的效果、不信任感或尴尬局面。他们可能会让这些信息看起来像是意外发送的,或者假装让你了解“真相”。
在某些情况下,他们甚至可能利用这些被篡改的材料对被黑客攻击的人或所谓的信息接收者进行勒索。
渗透测试渗透测试是模拟网络攻击,发现计算机系统漏洞的过程。分为规划、扫描、获取访问权、维持访问权和分析阶段。外部、内部、盲测、双盲测试和有针对性测试是常见方法。与Web应用程序防火墙(WAF)互相补充,帮助满足合规性要求。通过更新WAF配置,渗透测试提高系统安全性。https://fostmar.online/archives/185/社会工程攻击有成千上万种不同的形式,其唯一的限制是犯罪者的想象力。在一次攻击中,你可能会遇到多种不同的社会工程手段。然后,攻击者可能会将你的信息卖给其他人,这样他们也可以对你、你的朋友、甚至你朋友的朋友发动攻击,因为他们知道人们往往会错误地信任他人。
二、避免成为受害者
为了避免成为网络钓鱼等社会工程攻击的受害者,您可以采取以下措施来保护自己。大多数人通过简单地留意一些细节就可以有效避免这些攻击。请记住以下几个重要提示:
1、要记住的提示
- 慢下来:网络钓鱼攻击者希望您在没有思考的情况下立即采取行动。如果一则信息让您感到紧迫或使用高压销售手段,那么请保持怀疑态度;不要让任何紧急感影响您仔细审查信息的能力。
- 核实信息:对任何未经请求的消息保持警惕。如果收到的电子邮件似乎来自您使用的服务,最好自行验证。通过搜索引擎访问公司的官方网站,或从电话簿中查找他们的官方联系方式。
- 小心链接:不要盲目点击电子邮件中的链接。使用搜索引擎自行查找您想访问的网站,以确保您到达正确的网页。虽然将鼠标悬停在链接上可以显示实际的 URL,但要注意,精心伪造的链接可能会误导您。
- 警惕电子邮件劫持:黑客和社会工程师控制电子邮件账户的情况越来越普遍。一旦他们控制了某人的账户,就可能利用该账户中联系人的信任。即使发件人似乎是您认识的人,如果收到带有链接或附件的意外电子邮件,请在打开前先与该朋友确认。
- 小心下载:如果您不认识发件人,不要下载他们发送的任何文件,特别是如果文件来自不熟悉的来源。
- 避免国际诈骗:收到的任何来自国外彩票、遗产或资金转移的邮件都很可能是诈骗。不要相信这些看似诱人的报价,尤其是当它们来自您不认识的人时!
2、保护自己的方法
为了保护自己免受网络钓鱼和其他社会工程攻击的侵害,您可以采取以下预防措施:
- 删除可疑请求:如果您收到要求提供财务信息或密码的电子邮件,这很可能是一种诈骗手段。合法的公司或组织通常不会通过电子邮件要求您回复个人信息。
- 拒绝意外的帮助请求:合法的公司和组织不会主动联系您提供帮助。如果您没有主动向某个发件人求助,那么任何提供信用修复、房屋再融资或其他咨询服务的邮件都应被视为可疑。同时,如果您收到来自您不熟悉的慈善机构或组织的求助邮件,请予以删除。如果您想要捐款,最好自行寻找并直接联系信誉良好的慈善组织。
- 设置强大的垃圾邮件过滤器:大多数电子邮件服务都配备了垃圾邮件过滤功能。您可以在设置中找到这个选项,并将其调整至高级别。但请记得定期检查垃圾邮件文件夹,以确保合法邮件没有被误拦截。
- 保护您的计算设备:安装并及时更新防病毒软件、防火墙和电子邮件过滤器。确保您的操作系统自动更新或手动更新智能手机上的系统。使用网络浏览器的反网络钓鱼功能或第三方工具来帮助识别和警告潜在的钓鱼网站。这些工具能够提醒您注意网站的风险,从而帮助您避免落入陷阱。
0