数据结构
网络
关系数据库管理系统 (RDBMS)
操作系统
Java
MS Excel
iOS
HTML
CSS
Android
Python
C语言编程
C++
C#
MongoDB
MySQL
Javascript
PHP
物理学
化学
生物学
数学
英语
经济学
心理学
社会学
服装设计
法学社会工程攻击:常见类型及预防方法
“社会工程”一词描述的是各种恶意行为,这些行为可能是通过与他人互动而实施的。它利用欺骗手段诱使用户未能采取适当的安全预防措施或泄露私人信息。
社会工程攻击可能包含多个阶段;在发动攻击之前,攻击者会对目标进行分析,以了解诸如访问点和安全漏洞之类的详细信息。然后,攻击者会采取措施获得受害者的信任,并提供刺激,促使受害者采取违反安全规范的行为,例如泄露敏感信息或提供关键资源的访问权限。
什么是社会工程攻击?
基于社会工程的攻击通常利用欺骗和其他形式的心理操纵来诱使用户或员工泄露私人信息。这样做是为了实现攻击的目标,即获取私人信息。在社会工程领域,常用的策略包括使用电子邮件和其他几种类型的通信方式。目标会感受到紧迫感、恐慌或类似的情绪,从而迫使目标尽快泄露敏感信息、点击恶意链接或下载恶意文件。这些方法旨在诱使目标感受到紧迫感、恐慌或其他类似的情绪。由于这些情况下存在人为因素,企业很难成功地保护自己免受社会工程攻击。
基于社会工程的攻击
任何人都可能遭受社会工程攻击,因为它们可以在任何人们相互互动的情况下实施。以下是数字领域五种最常见的社会工程攻击类型。
诱饵攻击
顾名思义,诱饵攻击通过向目标承诺有价值的东西,然后提供其他东西来吸引他们的贪婪或好奇心。它们诱使人们陷入陷阱,从而窃取他们的数据或使他们的计算机感染恶意软件。
使用有形材料通过诱饵传播恶意软件臭名昭著。例如,攻击者经常将诱饵(包含感染恶意软件的闪存驱动器)放置在非常显眼的地方(例如,浴室、电梯和目标公司的停车场)。诱饵看起来很真实,带有诸如声称代表公司工资单的标签之类的细节。
人们因为好奇而上当受骗,意外地将其家用或办公电脑感染了恶意软件。
成功的诱饵欺诈并不需要实体世界。诱饵是一种在线欺诈,通过使用具有欺骗性的诱人广告,诱使人们访问有害网站或下载感染恶意软件的软件。
恶意软件恐吓
恶意软件恐吓的受害者不断受到虚假警告和不存在的危险的轰炸。网络罪犯可以通过让用户相信他们的计算机感染了恶意软件来诱使他们下载和安装恶意软件或无用应用程序。欺骗软件、伪造的反病毒程序和欺诈软件都是恶意软件恐吓的其他名称。
当您在线时出现在浏览器中的“您的计算机可能感染了有害间谍软件应用程序”弹出窗口是恶意软件恐吓的典型示例。它要么会主动为您安装实用程序(通常感染了恶意软件),要么会将您引导到恶意网站,从而攻击您的计算机。
恶意软件恐吓通常通过垃圾邮件传播,这些垃圾邮件声称提供虚假警告或以付费方式提供潜在危险的服务。
攻击者使用一系列精心设计的谎言,“借口”来获取信息。在许多情况下,骗子会假装需要受害者的个人信息才能完成某些紧急任务。
攻击者通常会假装成受害者认识和信任的人来获得受害者的信任,例如工作中的权威人士、警察、金融机构或税务部门的人员。通过提出似乎有必要验证受害者身份的问题,“借口”能够收集敏感信息。
利用这种欺诈手段获取各种重要信息和数据,例如社会安全号码、个人住址和电话号码、电话记录、员工休假日期、银行记录,甚至与物理工厂相关的安全信息。
网络钓鱼
作为最突出的社会工程攻击类型之一,网络钓鱼诈骗是旨在让受害者产生紧迫感、好奇心或焦虑感的电子邮件和短信活动。然后,它试图诱骗用户泄露个人信息、访问恶意网站或下载危险附件。
一个例子是发送给在线服务订阅者的电子邮件,警告他们违反了政策,需要他们立即采取行动,例如必须更改密码。它包含指向看起来几乎与真实网站完全相同的虚假网站的链接,并要求用户使用其现有凭据和新密码登录。当用户提交表单时,它会使攻击者能够访问其个人详细信息。
鉴于在网络钓鱼活动中向所有用户发送相同或几乎相同的邮件,拥有访问威胁共享系统的邮件服务器更容易识别和阻止它们。
目标电子邮件攻击或鱼叉式网络钓鱼
在这种网络钓鱼诈骗的变体中,目标是特定的人或公司。然后,他们通过发送反映受害者独特特征、职业和熟人圈子的邮件来个性化他们的攻击。鱼叉式网络钓鱼需要攻击者花费更多时间和精力,通常持续数周或数月。如果操作正确,它们的成功率要高得多,而且更难以检测。
使用鱼叉式网络钓鱼的攻击者可能会向一些员工发送电子邮件,假装自己是公司的IT顾问。它以顾问的典型风格撰写和签名,给人以直接来自他们的印象。这封信建议目标更新他们的密码,并包含指向恶意网站的链接,攻击者可以在那里窃取他们的信息。
255 次浏览
