简析社会工程攻击的五种常见类型和防护

安全 应用安全
网络钓鱼是最常见的社会工程技术之一。网络犯罪分子发送貌似来自正规渠道的电子邮件、短信或私信,诱骗受害者提供敏感信息或点击恶意链接。

在网络安全领域,社会工程学就是指攻击者利用“人的因素”这个薄弱点,通过诱导、欺骗的手段获取到他们想要的信息,从而对目标计算机系统进行攻击。据IBM发布的《2022年数据泄露成本》报告显示,以社会工程学作为初始攻击的数据泄露事件平均损失超过400万美元。更糟糕的是,社会工程造成的数据泄露很难被追踪和遏制,报告显示,受害企业平均要花费约9个月的时间才能发现并封堵数据泄露。

网络攻击者善于操纵受害者的心理来获得对敏感信息、网络或系统的非法访问,以下收集了5种常见的社会工程攻击类型和防护方法。

01网络钓鱼攻击

网络钓鱼是最常见的社会工程技术之一。网络犯罪分子发送貌似来自正规渠道的电子邮件、短信或私信,诱骗受害者提供敏感信息或点击恶意链接。

防护方法:

  • 验证发件人的电子邮件地址,查找不一致的地方。
  • 谨防不请自来的邮件或信息。
  • 将鼠标悬停在链接上以查看实际的URL,核实后再点击。
  • 使用双因素身份验证来保护邮件账户。

02虚假冒充攻击

虚假冒充攻击是指设立虚构的场景或冒充可信赖的人以欺骗受害者,诱骗对方泄露敏感信息或授予访问资源的权限。

防护方法:

  • 通过可信赖渠道来验证联系人员的身份。
  • 通过电话或互联网分享个人信息时须谨慎。
  • 培训员工熟悉公司处理敏感信息的规程。

03诱饵攻击

诱饵攻击是指通过奖励(比如免费软件或礼物)来引诱受害者,并以此来设计一个欺诈陷阱,等待潜在的受害者走进陷阱,以非法获取敏感信息或访问系统的权限。

防护方法:

  • 警惕各种免费的礼物。
  • 仅从可信来源下载软件。
  • 核实任何不请自来的优惠或促销信息。

04Quid Pro Quo(交易交换)

交易交换攻击是指攻击者要求受害者提供隐私信息或访问权限,以换取某些其所需要的服务。比如说,攻击者可能冒充公司IT支持人员,请求受害者提供账号登录凭据以“修复”某个并不存在的安全问题。

防护方法:

  • 对任何信息或访问权限的请求进行合法性验。
  • 不同账户使用不同的强密码。
  • 在组织内实施严格的访问控制。

05尾随攻击

尾随攻击是一种物理漏洞利用方式,攻击者会跟随他们前面的合法人员进入某些安全区域,从而绕过门禁卡或生物特征识别扫描器等安全措施。

防护方法

  • 实施严格的访问控制策略。
  • 向员工宣讲随手关门的重要性。
  • 使用安全摄像头监控出入口。

参考链接:https://www.vaultree.com/blog/unmasking-social-engineering-attacks-types-and-prevention-techniques/


责任编辑:武晓燕 来源: 安全牛
相关推荐

2022-08-30 13:20:38

DNS攻击网络安全

2022-12-15 12:00:04

2023-02-16 12:07:20

2022-03-02 11:42:06

勒索软件网络安全

2010-09-13 16:58:13

2010-09-09 10:43:56

VPN服务

2022-10-17 11:54:48

2023-03-10 12:28:16

2022-11-21 12:06:04

2011-03-14 10:46:03

2009-12-15 10:58:54

2018-07-16 08:36:13

2010-04-19 12:28:57

2023-09-21 00:07:12

2015-05-13 10:36:43

2023-09-19 11:51:11

2023-10-27 13:21:07

2022-08-25 14:32:39

网络安全黑客网络攻击

2012-12-11 09:16:07

Go

2023-03-28 00:04:42

点赞
收藏

51CTO技术栈公众号