社会工程攻击操纵人们共享不应该共享的信息、下载不应该下载的软件、访问不应该访问的网站、向犯罪分子汇款或犯下其他损害个人或组织安全的错误。由于社会工程利用心理操纵并利用人为错误或弱点,而不是技术或数字系统漏洞,因此有时被称为“人为黑客攻击”。
一封似乎来自值得信赖的同事的要求敏感信息的电子邮件、一封声称来自美国国税局的威胁性语音邮件、来自外国统治者的财富——这些只是社会工程的几个例子。
网络犯罪分子经常使用社会工程策略来获取个人数据或财务信息(登录凭据、信用卡号、银行帐号、社会安全号码),他们可用于身份盗窃,使他们能够使用人们的金钱或信用进行购物、申请以他人名义申请贷款、申请他人失业救济金等等。但社会工程攻击也可能是更大规模网络攻击的第一阶段。例如,网络犯罪分子可能会诱骗受害者共享用户名和密码,然后使用这些凭据在受害者雇主的网络上植入勒索软件。
社会工程对网络犯罪分子很有吸引力,因为它使他们能够访问数字网络、设备和帐户,而无需进行绕过防火墙、防病毒软件和其他网络安全控制的艰巨技术工作。根据 ISACA 的2022 年网络安全状况报告 (链接位于 IBM.com 外部),这是社会工程成为当今网络危害的主要原因之一。根据 IBM 的《2022 年数据泄露成本》报告,由社会工程策略(例如网络钓鱼和商业电子邮件泄露)造成的泄露是成本最高的。
社会工程如何以及为何发挥作用
社会工程策略和技术植根于人类动机科学。他们操纵受害者的情绪和本能,其方式已被证明会驱使人们采取不符合他们最佳利益的行动。
大多数社会工程攻击采用以下一种或多种策略:
- 冒充受信任的品牌:诈骗者经常冒充或“欺骗”受害者认识、信任的公司,并且可能经常或经常与之开展业务——如此频繁,以至于他们本能地遵循这些品牌的指示,而不采取适当的预防措施。一些社会工程诈骗者使用广泛使用的工具包来建立与主要品牌或公司相似的虚假网站。
- 冒充政府机构或权威人物:人们信任、尊重或害怕权威(不同程度)。社会工程攻击利用这些本能,利用看似或声称来自政府机构(例如联邦调查局或国税局)、政治人物甚至名人的消息。
- 引起恐惧或紧迫感:人们在害怕或匆忙时往往会鲁莽行事。社会工程诈骗可以使用多种技术来引起受害者的恐惧或紧迫感——告诉受害者最近的信用交易未获批准、病毒已感染他们的计算机、他们网站上使用的图像侵犯了版权等社会工程还可以引起受害者对错过机会的恐惧(FOMO),从而产生一种不同的紧迫感。
- 吸引贪婪:尼日利亚王子骗局——一封电子邮件,其中有人自称是尼日利亚王室成员,试图逃离自己的国家,提供巨额经济奖励,以换取收件人的银行账户信息或少量预付费用——是最好的骗局之一——吸引贪婪的社会工程的已知例子。(它也来自所谓的权威人物,并营造出一种紧迫感——这是一个强大的组合。)这种骗局与电子邮件本身一样古老,但截至 2018 年,每年仍能赚得 70 万美元。
- 吸引受害者的帮助或好奇心:社会工程策略还可以吸引受害者的善良本性。例如,看似来自朋友或社交网站的消息可以提供技术帮助、要求参与调查、声称收件人的帖子已病毒式传播,并提供指向虚假网站或恶意软件下载的欺骗性链接。
社会工程攻击的类型
网络钓鱼
网络钓鱼攻击是数字或语音消息,试图操纵收件人共享敏感信息、下载恶意软件、将资金或资产转移给错误的人,或采取其他一些破坏性行动。诈骗者精心制作网络钓鱼消息,使其看起来或听起来像是来自受信任或可信的组织或个人(有时甚至是收件人认识的个人)。
网络钓鱼诈骗有多种类型:
- 批量网络钓鱼电子邮件一次发送给数百万收件人。它们似乎是由大型知名企业或组织(国家或全球银行、大型在线零售商、流行的在线支付提供商等)发送的,并提出一般性请求,例如“我们在处理时遇到问题”您的购买,请更新您的信用信息。这些邮件通常包含恶意链接,将收件人引导至虚假网站,该网站会捕获收件人的用户名、密码、信用卡数据等。
- 鱼叉式网络钓鱼针对特定个人,通常是有权访问用户信息、计算机网络或公司资金的个人。诈骗者通常会使用在 LinkedIn、Facebook 或其他社交媒体上找到的信息来研究目标,以创建一条看似来自目标认识和信任的人的消息,或者提及目标熟悉的情况。鲸鱼网络钓鱼是一种针对知名人士(例如首席执行官或政治人物)的鱼叉式网络钓鱼攻击。在商业电子邮件泄露 (BEC)中,黑客使用泄露的凭据从权威人物的实际电子邮件帐户发送电子邮件,从而使诈骗更加难以检测。
- 语音网络钓鱼或语音钓鱼是通过电话进行的网络钓鱼。人们通常会遇到声称来自 FBI 的威胁性录音电话形式的网络钓鱼。但 IBM 的 X-Force 最近确定,将语音钓鱼添加到有针对性的网络钓鱼活动中可以将该活动的成功率提高 3 倍。
- 短信网络钓鱼或短信钓鱼是通过短信进行的网络钓鱼。
- 搜索引擎网络钓鱼涉及黑客创建在流行搜索词的搜索结果中排名靠前的恶意网站。
- Angler 网络钓鱼是通过虚假社交媒体帐户进行网络钓鱼,这些帐户伪装成受信任公司的客户服务或客户支持团队的官方帐户。
根据IBM Security X-Force 威胁情报指数 2023,网络钓鱼是主要的恶意软件感染媒介,占所有事件的 41%。根据《2022 年数据泄露成本》报告,网络钓鱼是导致代价最高的数据泄露的最初攻击媒介。
诱饵
通过提供有价值的优惠甚至有价值的物品来引诱(没有双关语)受害者有意或无意地放弃敏感信息或下载恶意代码。
尼日利亚王子骗局可能是这种社会工程技术最著名的例子。当前的更多示例包括免费但受恶意软件感染的游戏、音乐或软件下载。但某些形式的诱饵并不巧妙。例如,一些威胁行为者只是将受恶意软件感染的 USB 驱动器留在人们会找到的地方,然后抓住它们并使用它们,因为“嘿,免费的 USB 驱动器”。
尾随
在尾随(也称为“捎带”)中,未经授权的人员紧随授权人员进入包含敏感信息或有价值资产的区域。尾随可以亲自进行,例如,威胁行为者可以通过未上锁的门跟踪员工。但尾随也可以是一种数字策略,例如当一个人在仍登录私人帐户或网络的情况下离开计算机无人看管时。
借口
威胁行为者以借口为受害者制造了一个虚假的情况,并冒充为解决问题的合适人选。很多时候(最具讽刺意味的是),诈骗者声称受害者受到了安全漏洞的影响,然后如果受害者提供重要的帐户信息或对受害者计算机或设备的控制权,就会提出修复问题。(从技术上讲,几乎每次社会工程攻击都涉及某种程度的借口。)
为了某事
在交换式骗局中,黑客用一种理想的商品或服务来换取受害者的敏感信息。虚假的比赛奖金或看似无辜的忠诚奖励(“感谢您的付款——我们为您准备了一份礼物”)都是交换策略的例子。
恐吓软件
恐吓软件也被认为是恶意软件的一种形式,它是利用恐惧来操纵人们共享机密信息或下载恶意软件的软件。恐吓软件通常采用虚假的执法通知的形式,指控用户犯罪,或者以虚假的技术支持消息警告用户设备上存在恶意软件。
水坑攻击
从短语“有人在水坑里投毒”来看,黑客将恶意代码注入到目标经常访问的合法网页中。水坑攻击造成了从凭据被盗到无意中偷渡式勒索软件下载等各种情况。
社会工程防御
众所周知,社会工程攻击很难预防,因为它们依赖于人类心理而不是技术途径。攻击面也很重要:在较大的组织中,只需一名员工的错误就会损害整个企业网络的完整性。专家建议采取的一些降低社会工程诈骗风险和成功的步骤包括:
- 安全意识培训:许多用户不知道如何识别社会工程攻击。在用户频繁用个人信息换取商品和服务的时代,他们没有意识到,交出看似平常的信息(例如电话号码或出生日期)可能会让黑客入侵帐户。安全意识培训与数据安全 政策相结合,可以帮助员工了解如何保护其敏感数据,以及如何检测和应对正在进行的社会工程攻击。
- 访问控制策略:安全访问控制策略和技术,包括多因素身份验证、自适应身份验证和零信任安全方法,即使网络犯罪分子获得了用户的登录凭据,也可以限制他们对公司网络上的敏感信息和资产的访问。
- 网络安全技术:垃圾邮件过滤器和安全电子邮件网关可以首先防止某些网络钓鱼攻击到达员工。防火墙和防病毒软件可以减轻访问网络的攻击者造成的任何损害的程度。使用最新补丁更新操作系统还可以消除攻击者通过社会工程利用的一些漏洞。先进的检测和响应解决方案,包括端点检测和响应(EDR)和扩展检测和响应(XDR),可以帮助安全团队快速检测和消除通过社会工程策略感染网络的安全威胁。
