心理操控:社会工程手段发起的高级攻击

日期: 2012-08-16 作者:David Bull 来源:TechTarget中国

  社会工程攻击手段往往十分奏效,因为它能够充分利用已成为人性一部分的心理弱点。

  我们都听过这样的故事:一位朋友的朋友要给滞留在国外的家人汇钱,他的家人急需现金才能回国;一则关于名人死讯的新闻在 Facebook上几小时内被疯狂转载,直至这位名人活生生地出现在公众面前才终止流言。很常见,不是吗?而实际上,网络犯罪分子使用这些障眼法的真正目的在于获取个人敏感信息。

  此类欺骗伎俩已横行多年,网络犯罪分子正是利用心理操控来达到窃取信息的目的。故事情节大同小异,但欺骗伎俩却千变万化。网络犯罪分子能够访问大量关于社交媒体用户及其所感兴趣话题的公共信息。只要访问一下 Google Trends,就能实时了解大部分在线用户的搜索话题。LinkedIn 上公开的个人资料会告诉全世界你的工作、母校等等信息。通过将我们的部分身份信息、我们最感兴趣话题与高级恶意软件相结合,网络犯罪分子就能够借助简单的恶意链接(标题可能是“这里有一些你会感兴趣的东西,快来看看吧!”)使得大多数人上当受骗。

  例如,一封来自冒名电子邮件地址的电子邮件的主题为“紧急:【插入你的姓名】,我们将为你支付奖金”。邮件正文包含几句套话和一个带有贵公司logo的电子签名。在正文中,你会发现一个链接,链接的内容要求你必须更新自己的联系人信息才能领到本季奖金。由于邮件貌似合法且奖励诱人,你也许会毫不犹豫地点击该链接。然而一旦你访问该链接,便会被跨站点脚本的攻击方法将首轮恶意软件注入你的计算机中。你的包含同事、客户及合作伙伴等联系信息的通讯录将开始被悄悄地传到网络犯罪分子的海外运营中心。

  点击链接后,你或许会在出现的页面中看到相同的Logo,以及让你更新联系信息的表单。看到进入 corporatebonusadvisor.com 而非公司内部站点会感到有点意外吧?但贵公司一直在与第三方供应商合作,不是吗?在这个表格中输入你的姓名、邮寄地址以及身份证号后,在该阶段在未使用任何恶意软件的情况下,发起攻击的网络犯罪分子便已经轻易掌握了你的关键身份信息。

  奖励支付带来的刺激或许会使你判断失常,当你点击“提交”后,你可能会看出一些古怪。如在浏览器一角,你会看到“请等待XX秒钟”,显示数秒后会重定向到确认页。你会发现页面跳转到了一个俄罗斯分支机构,很明显,你已经遭受网络钓鱼诈骗了。在此情况下,迈克菲建议你立即与 IT 部门联系并将攻击通知他们。虽然可以采用追溯方式消除恶意软件,但你的个人信息已经永远失窃了。

  因此,社会工程攻击通常因其具有针对性和说服力的本质而难于被识破,但并不意味着它无法应对。

  虽然社会工程攻击往往不太可能从一开始就得到遏制,但结合技术和安全意识教育,是完全可以消除恶意企图负面影响的。以下是规避此类攻击的一些有效方法:

  安全意识教育。从上至下乃至同事之间,公司每个人都需要明确知道当今的网络空间中存在哪些安全风险。安排培训课程,或者传阅介绍安全数字行为的最佳实践文档。

  电子邮件安全。实施电子邮件安全解决方案可在来自已知恶意发件人的邮件抵达你的邮箱前加以拦截。

  Web 安全。Web 安全解决方案会识别恶意企图并拦截相关页面,从而防止恶意 URL 的执行和有效负载的传输。

  数据丢失防护。如果攻击者只是想通过社会工程手段收集信息,有时甚至不会使用恶意软件。数据丢失防护策略可防止用户将特定类型的信息(如 SSN)输入 Web 表单。有效规避身份窃取。

  用于窃取信息的伎俩将持续演化,因此我们相应的防范措施也应不断发展。网络安全比以往任何时候都需要一种互联方法来确保,它要求跨多种威胁媒介(包括用户)综合使用防护措施。通过安全意识教育和高级安全技术,社会工程的攻击将无机可乘。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者

David Bull
David Bull

迈克菲高级产品营销经理

相关推荐