社会工程是一种操纵技巧,目的是让人们泄露机密信息。这类犯罪行为所追求的信息类型各不相同,但当个人成为攻击目标时,罪犯们通常会诱使受害者向他们透露密码或银行信息,或者在不知情的情况下让他们进入受害者的计算机并安装恶意软件。这样他们就可以获取受害者的密码、银行信息并控制其计算机。
犯罪分子之所以采用社会工程手段,是因为利用人们天生的信任感通常比找到破解软件的技术手段来得更简单。举个例子,欺骗某人泄露他们的密码,比你尝试破解他们的密码要容易得多(除非那个密码非常弱)。
安全的本质在于知晓何时信任他人以及何事。关键是分辨何时应该或不应该相信别人的话,以及判断与你交谈的人是否真的是他们所声称的那个人。这同样适用于在线互动和网站使用:你如何判断所使用的网站是否合法,或者是否可以安全地向其提供你的信息?
任何安全专家都会告诉你,安全链条中最脆弱的环节是那些只根据表面现象就轻信他人或情况的人。你的门窗上安装了多少锁、插销,你家是否有看门狗、报警系统、泛光灯、带刺铁丝的围墙或武装保安,这些都不是最关键的;如果你轻信那个自称是送披萨的人,并在不先核实其身份的情况下就让他进门,那么你就会完全暴露于他可能带来的任何风险之下。
当黑客通过社交工程手段破解或获取某人的电子邮件密码时,他们便能够访问该人的联系人列表。而且,由于许多人在不同平台上使用相同的密码,黑客还可能能够访问该人的社交媒体联系人。
如何提高Linux系统安全性提升Linux安全的关键策略,包括系统更新、使用复杂密码、防火墙配置等。如何在Linux操作系统中实施有效的安全系统工程,确保数据和资源的安全?https://fostmar.online/archives/294/一旦黑客控制了这个电子邮件账户,他们就会向受害者的所有联系人发送含有恶意链接的邮件,甚至在受害者和他们朋友的社交媒体页面上发布带有恶意链接的消息。
这些消息利用了你的信任和好奇心,可能包含:
网络钓鱼攻击是一种常见的社会工程手段,它通过模仿可信来源并构建看似合理的场景来诱骗人们交出登录凭证或其他敏感信息。据 Webroot 的数据显示,金融机构是这类攻击中最常被冒充的目标。Verizon 的年度数据泄露调查报告也表明,包括网络钓鱼在内的社会工程攻击导致了大多数成功的数据泄露事件。
网络钓鱼攻击常用的手段包括:
诱饵场景是社会工程攻击中的一种常见手段,攻击者通过提供人们渴望的东西来吸引受害者上钩。这类攻击通常出现在提供热门电影或音乐下载的点对点网站上,但也可能出现在社交网站、通过搜索结果发现的恶意网站等地方。
此外,这些诈骗计划可能在分类广告网站或拍卖网站上发布令人难以置信的优惠。为了让人们放松警惕,这些广告可能会展示卖家的高评级,但这些评级实际上是提前设计和制造的。
上当的人可能会感染恶意软件,这种软件可能会对他们自己和他们的联系人制造出新的安全漏洞。他们可能会在没有收到购买物品的情况下损失金钱,甚至如果他们愚蠢地使用支票支付,可能会发现自己的银行账户被清空。
“回答未提出的问题”是另一种常见的社会工程策略。犯罪分子可能会假装回应您向某公司提出的“帮助请求”,同时也提供更多帮助。他们会选择那些拥有数百万用户的大公司,如软件公司或银行。如果您并未使用该产品或服务,您可能会忽略这些电子邮件、电话或消息,但如果您恰好使用该服务,那么您很可能会回复,因为您可能确实需要帮助解决某些问题。
例如,即使您知道自己最初没有提出问题,但如果您的计算机操作系统存在问题,并且有机会免费修复它,您可能会抓住这个机会。一旦您作出回应,您就已经相信了对方的故事,给了他们您的信任,并使自己易受攻击。
这个所谓的“代表”实际上可能是一个犯罪分子,他们可能会要求您“验证身份”,让您登录到“他们的系统”,或登录您的计算机,并允许他们远程访问您的计算机,以便“帮助”您修复它,或者指导您输入一些命令来自行修复——但他们告诉您输入的这些命令可能会为犯罪分子稍后重新访问您的计算机打开后门。
社会工程的一种形式是制造不信任或引起冲突。这种行为通常由对你怀有愤怒的熟人实施,但也有可能是出于纯粹恶意,意图造成严重破坏的人所为。他们的目标是在你心中培养对他人的不信任,然后趁机扮演“救星”以赢得你的信任,或者是作为勒索者,利用操纵信息来威胁你。
这种社会工程通常开始于获取对你的电子邮件账户、即时通讯客户端、社交网络、聊天室或论坛等通信工具的访问权限。他们可能通过黑客攻击、社会工程手段或简单猜测弱密码来达成目的。
接着,施害者可能会使用基本的编辑技术来篡改敏感或私人通信内容(包括图像和音频),并将这些内容发送给其他人,以制造戏剧化的效果、不信任感或尴尬局面。他们可能会让这些信息看起来像是意外发送的,或者假装让你了解“真相”。
在某些情况下,他们甚至可能利用这些被篡改的材料对被黑客攻击的人或所谓的信息接收者进行勒索。
渗透测试渗透测试是模拟网络攻击,发现计算机系统漏洞的过程。分为规划、扫描、获取访问权、维持访问权和分析阶段。外部、内部、盲测、双盲测试和有针对性测试是常见方法。与Web应用程序防火墙(WAF)互相补充,帮助满足合规性要求。通过更新WAF配置,渗透测试提高系统安全性。https://fostmar.online/archives/185/社会工程攻击有成千上万种不同的形式,其唯一的限制是犯罪者的想象力。在一次攻击中,你可能会遇到多种不同的社会工程手段。然后,攻击者可能会将你的信息卖给其他人,这样他们也可以对你、你的朋友、甚至你朋友的朋友发动攻击,因为他们知道人们往往会错误地信任他人。
为了避免成为网络钓鱼等社会工程攻击的受害者,您可以采取以下措施来保护自己。大多数人通过简单地留意一些细节就可以有效避免这些攻击。请记住以下几个重要提示:
为了保护自己免受网络钓鱼和其他社会工程攻击的侵害,您可以采取以下预防措施:
0