什么是社会工程学?
社会工程(在网络安全背景下)的字典定义是“利用欺骗手段操纵个人泄露可能用于欺诈目的的机密或个人信息 。”
最基本的是,这包括通过网络钓鱼尝试向个人电子邮件帐户发送大规模垃圾邮件,例如提供知名零售商的免费礼券。单击恶意网站链接或打开受感染文件附件并输入个人信息的消费者可能会遭受犯罪分子的利用。
对于更高价值的企业目标,该技术可以变得更加复杂,或者仍然非常简单。
安全意识培训供应商KnowBe4的数据驱动防御传播者罗杰·格莱姆斯 (Roger Grimes)称其为:骗局、骗局。他解释说:“与你知道消息是由一个完全陌生的人发送的消息相比,你会更信任那些冒充品牌、公司或个人的人,试图诱骗你做一些会影响你或你的组织自身利益的事情。” 。“所需的操作通常是启动恶意程序、提供登录密码或提供机密内容(例如社会安全号码、银行信息等)。”
犯罪分子利用心理操纵来诱骗用户执行操作或泄露机密信息。罗伯特·西里尼 (Robert Cialini) 在《影响力:说服心理学》一书中概述了七种说服性吸引力的方法,这些方法在解释为什么人们容易受到其在社会工程中应用的影响时经常被引用:
互惠、缺乏、权威、喜欢、承诺、共识、统一
许多社会工程尝试都是通过电子邮件进行的,但这并不是唯一的渠道。社会工程还可以通过短信、网站、社交媒体、电话甚至亲自完成。
正如黑客培训公司Hack The Box的内容主管马诺斯·加夫里尔 (Manos Gavriil) 指出的那样,“社会工程被认为是网络安全中的头号威胁,因为它利用个人人为错误,这使得它很难阻止,即使是最简单的形式的攻击可能会产生毁灭性的影响。”
社会工程技术和方法的类型
社会工程可以通过多种方式完成:
- 借口:这涉及虚假地呈现身份或背景,以使目标相信他们应该共享敏感数据或采取妥协行动,这是大多数社会工程中的一个要素。
- 诱饵:对手通常会提供虚假承诺来欺骗受害者、窃取敏感信息或用恶意软件感染组织。
- 网络钓鱼: 攻击者在没有考虑特定目标的情况下发送大量电子邮件,希望通过单击恶意链接或附件来访问敏感信息。
- 鱼叉式网络钓鱼:攻击者伪装成已知或可信的发件人,向特定受害者发送有针对性的、通常是个人制作的网络钓鱼消息。
- 鲸鱼网络钓鱼:这是针对高价值目标的鱼叉式网络钓鱼,例如高级管理人员或关键财务人员。它可能基于攻击者首先收集的有关目标和组织的详细信息,以便提供涉及访问敏感信息或发起财务行动的可信借口。
- 语音钓鱼或网络钓鱼:这是通过语音呼叫或短信(而不是电子邮件)进行的网络钓鱼尝试。
- 商业电子邮件泄露 (BEC):网络犯罪分子入侵商业电子邮件帐户并冒充所有者欺骗商业圈中的某人向攻击者的帐户发送金钱或敏感数据。
- 网络欺骗:将代码放置在计算机或服务器上,以转移或诱骗用户访问有害网站。
- 尾随或捎带:恶意行为者通过密切跟踪使用凭证通过安检的员工或其他授权进入者,获得对组织安全设施的物理访问权限。
- 垃圾箱潜水:顾名思义,这是另一种针对物理位置的攻击,犯罪分子通过这种方式在组织的垃圾中进行筛选,以查找可用于发起攻击的信息。
这些类型的攻击通常会结合或调整以包含新的皱纹:
- 网络犯罪分子经常假装自己来自受信任的组织,例如目标的能源供应商、银行或 IT 部门。他们使用这些机构的徽标和与官方相似的电子邮件地址。一旦获得信任,他们就会请求登录或帐户详细信息等敏感信息,以渗透网络或窃取资金。
- 一种常见的方法是虚假场景,并发出警告,如果不尽快采取行动,将会产生一些不良的负面后果,例如帐户永久锁定、罚款或执法部门的访问。通常的目标是让人们点击恶意 URL 链接,将受害者带到虚假的登录页面,在其中输入合法服务的登录凭据。
- 另一种变体是 BazarCall 活动。它始于一封网络钓鱼电子邮件。但该电子邮件并没有欺骗用户点击恶意链接或附件,而是提示用户拨打电话号码来取消订阅。紧迫感中充满了他们即将被自动指控的威胁。然后,虚假呼叫中心将用户引导至网站下载安装 BazarCall 恶意软件的取消表格。
- 对于鱼叉式网络钓鱼,攻击者可能会从 LinkedIn、Facebook 和其他平台收集有价值的数据,以显得更加真实。例如,如果目标位于国外,并且已知使用美国运通卡,则电话或电子邮件可能会声称来自美国运通,寻求验证身份以批准用户旅行所在国家/地区的交易。攻击者交出账户信息、信用卡号、密码和安全码,攻击者就会开始网上疯狂购物。
- 由于捕鲸活动侧重于高价值目标,因此越来越多地使用复杂的技术。如果合并正在进行或大笔政府拨款即将通过,攻击者可能会冒充参与交易的人员,并注入足够的紧迫感,将资金转移到犯罪集团的账户。Deepfake技术可用于让财务员工相信他们的老板或其他权威人物正在要求采取行动。
- 来自不良行为者的 LinkedIn 请求越来越普遍。骗子诱骗毫无戒心的求职者打开恶意 PDF、视频、二维码和语音邮件。
- 推送通知垃圾邮件是指威胁行为者通过多重身份验证 (MFA) 应用程序不断轰炸用户以获得批准。用户可能会对收到的大量通知感到恐慌或恼怒,并批准威胁行为者进入网络。
- 利用当前的危机,社会工程攻击利用了当前的头条新闻或人们对个人财务的恐惧。无论是提供虚假能源账单和退税的短信,还是网上银行诈骗的增加,随着预算紧缩,人们变得更容易受到机会主义不良行为者的剥削。
然而,社会工程并不一定要复杂才能成功。物理社会工程通常涉及攻击者冒充受信任的员工、交付和支持人员或消防员或警察等政府官员。另一个有效的策略是在年底时将 USB 记忆棒留在标有“比特币钱包”的地方,甚至在公司停车场或建筑物中,“年度加薪”。
正如 Qmulos 合规副总裁伊戈尔·沃洛维奇 (Igor Volovich) 分享的那样,“最近,两位社交媒体人物开始证明,他们只需携带梯子和‘代理官员’就可以参加音乐会。他们多次成功。”
预防社交工程攻击的10个最佳实践
请遵循以下最佳实践来阻止组织内的社会工程尝试:
1. 安全意识培训可能是防止社会工程损害的最根本做法。
培训应该是多方面的。引人入胜的短视频、有关潜在危险在线活动的用户警报以及随机网络钓鱼模拟电子邮件都发挥了作用。
培训必须定期进行,并且必须教育用户要寻找什么以及如何发现社会工程。
应避免一刀切的培训。根据Gartner 的说法,一刀切的培训没有达到目标。内容需要高度多样化才能覆盖所有类型的人群。它应该有不同的长度——从 20 分钟到一到两分钟的微学习课程。它应该是互动的,甚至可能包括基于剧集的节目。应该采用各种风格,从正式和企业到前卫和幽默。内容定制应针对不同类型的用户,例如 IT、财务或其他角色的用户以及具有不同知识水平的用户。
游戏化可以通过多种方式使用。培训可以包括用户发现不同威胁指标或解决社会工程谜团的游戏。还可以引入游戏,将一个部门的安全分数与另一个部门的安全分数进行比较,并在培训期结束时提供奖励。
2. 应定期测试员工对威胁的反应——包括在线测试和面对面测试。
在开始安全意识培训之前,基线测试可以确定遭受模拟攻击的用户百分比。培训结束后再次进行测试,以衡量教育活动的成功程度。正如Forrester Research 指出的那样,完成率和测验表现等指标并不代表现实世界的行为。
为了公平地衡量用户认知度,不应提前宣布模拟或活动。改变时间和风格。如果假冒网络钓鱼电子邮件每周一上午 10 点发出,并且看起来总是相似,那么员工就会采取行动。工人们会互相警告。有些人会站在小隔间里,向整个房间宣布一封网络钓鱼活动电子邮件。时间安排不可预测。风格也应该改变。一周尝试使用银行的公司徽标;下周将其设为 IT 部门关于安全威胁的警报。类似于使用“秘密购物者”,部署对尾随者和未经授权的潜伏者的真实模拟,或者在设施中放置诱人的 USB 可以测试面对面的意识。在与安全意识提供商合作时,Forrester 分析师 Jinan Budge 建议组织“选择能够帮助衡量员工人力风险评分的供应商”。Budge 指出:“一旦您了解了个人或部门的风险状况,您就可以调整您的培训并获得有关如何改进安全计划的宝贵见解。”
3. 培养普遍的意识文化。
格莱姆斯表示,“如果你创造了正确的文化,你最终就会拥有一道人类防火墙来保护组织免受攻击。” 执行良好的培训和测试有助于创造一种健康的怀疑文化,让每个人都学会识别社会工程攻击。
4. 报告尝试和违规行为应该很容易。
系统应使工作人员能够轻松地向服务台、IT 或安全部门报告潜在的网络钓鱼电子邮件和其他诈骗。此类系统还可以通过对报告进行分类和总结来简化 IT 部门的工作。网络钓鱼警报按钮可以直接放入公司电子邮件程序中。
5. 多重身份验证(MFA)很重要。
社会工程通常旨在诱骗用户泄露其企业电子邮件和系统访问凭据。要求多个身份验证凭据是防止此类第一阶段攻击进一步发展的一种方法。借助 MFA,用户可能会在手机上收到短信、在身份验证器应用程序中输入代码或通过多种方式验证其身份。
6. 严格控制管理和特权访问账户
一旦恶意行为者获得对网络的访问权限,下一步通常是寻求管理或特权访问帐户进行妥协,因为这提供了对其他帐户的访问和更敏感的信息。因此,此类账户仅在“需要时”才提供,并更仔细地监视是否被滥用,这一点尤为重要。
7. 部署用户和实体行为分析 (UEBA) 以进行身份验证。
除了 MFA 之外,还应使用额外的身份验证技术来阻止最初的凭据泄露升级为更大规模的网络入侵。UEBA可以识别异常位置、登录时间等。如果使用新设备访问帐户,则应触发警报并启动额外的验证步骤。
8. 安全电子邮件网关是另一个重要工具。
尽管安全电子邮件网关还不够完美,但它可以减少网络钓鱼尝试和到达用户的恶意附件的数量。
9. 保持反恶意软件版本、软件补丁和升级最新。
保持最新的版本、补丁和升级可以减少针对用户的恶意社会工程尝试,以及用户因欺骗或其他错误点击而造成的损害。
10. 最后,100% 保证免受网络攻击的唯一方法是从网络上删除所有用户,停止使用电子邮件,并且永绝外界通信。
如果没有这种极端情况,安全人员可能会变得非常偏执,以至于他们会采取一系列繁琐的防护措施,从而减慢组织中的每个流程。一个很好的例子是每个机场的运输安全管理局检查站效率低下。这一过程对公众对航空旅行的看法产生了负面影响。同样,在网络安全中,必须保持安全性和生产力之间的平衡。