什麼是社交工程-个人隐私泄露-关于社工库在线查询的疑问

社会工程,又称社交工程,是指利用影响或劝说来欺骗他人以获取有用信息的行为,是近年来对企业或个人造成巨大威胁和损失的一种黑客技术。

社会工程造成巨大威胁的原因在于,恶意者不需要具备顶尖的计算机专业知识,只要企业员工没有足够的防骗知识,就可以轻易避开企业的软硬件安全防护,获得各种账户密码、个人信息、财务信息或公司重要数据等。对企业造成的损失和威胁不亚于互联网上的各种黑客攻击。

即使企业投资了各种网络保护软件和硬件,并对员工进行了正确的系统操作程序和数据存储程序的培训,再加上良好的安全系统对机房的保护,结果可能还是无法战胜,因为社会工程利用了人性中容易相信和上当的弱点,避开了不容易破解的防火墙。突破这些耗资数千万美元的安全层的成本,仅仅是一两个电话的费用。

利用社会工程的各种攻击方法

除了使用电话欺诈,常见的社会工程攻击还包括:

(1) 隐藏计算机病毒的电子邮件

黑客利用社会工程的概念,在电子邮件中隐藏病毒、蠕虫和恶意软件,这些电子邮件看似由朋友发送,其实是利用社会工程的电子邮件陷阱。

(2) 网络钓鱼

有一种电子邮件假装是由知名企业或组织发送的,通知收件人必须重新验证他们的密码或登录某个网站输入他们的个人信息。如果收件人未经仔细验证就链接到邮件中的链接,可能会下载恶意程序;或在虚假网页上输入账户密码或信用卡信息,造成银行账户被盗或被冒用等严重后果,这是一种典型的社会工程攻击,近年来对个人和企业造成了巨大的损失。

(3) 图片中的恶意软件

Sobig病毒出现在一个含有色情内容的在线讨论组中,点击裸体照片的用户被感染了病毒,共造成约10亿美元的损失。

(4) 伪造的补丁

另一个社会工程骗局是伪装成微软的补丁更新,因为用户不认为这是一个来历不明的程序,但他们没有准备好,社会工程利用这个漏洞,将恶意软件隐藏其中。如果用户安装了这个文件,他们不仅无法修复操作系统中的任何漏洞,而且还可能被安装上远程窃取数据的木马。

(5) 即时通讯也是社会工程的一种新方式

近年来,社会工程学将传播恶意软件的渠道扩大到了即时通讯软件,如MSN、ICQ、YAHOO即时通讯、QQ等。2005年2月,一种利用MSN大量传播的病毒造成了严重的灾难,这种电脑病毒利用MSN自动传递文件给MSN联系人上的朋友。

社会工程攻击的四个步骤

社会工程攻击首先获取目标的背景信息,通过交谈与受害者建立信任,然后向受害者索取信息,再利用这些信息欺骗其他或更高层次的人,不断重复这些步骤以达到最终目的。

常见的社会攻击技术和目标

无论是使用纯粹的诈骗技术,还是利用计算机专业知识创造诈骗机会,都有各种常见的诈骗和攻击手段,包括:冒充同事;冒充新员工;冒充供应商、客户或政府实体;冒充权威人士;冒充系统供应商,提出为系统提供补丁或更新;冒充好心人,告诉对方如果电脑有问题,就给他打电话。然后他们制造问题,要求受害者打电话求助……等等。一些员工是社会工程攻击的对象,尤其是基层员工,当他们与公司的主要业务没有直接关系时,对信息的保密性警惕性较低,往往成为社会工程攻击的主要对象。

预防社会工程学攻击的有效方法

在了解了社会工程的攻击手段后,我们应该树立正确的社会工程防范理念,包括人员教育培训和普遍意识。

(1) 识别常见社会工程的可疑迹象

没有适当的认证,就不应该相信别人。只要有社会工程攻击的预警信号,就应该谨慎地寻找证据。你应该注意到社会工程学攻击的几种可疑迹象,如对方强调是紧急情况,提出不寻常的要求,威胁对方如果不听话会有严重后果,拒绝提供回电号码等。遇到这些情况时,你应该提高警惕。

(2) 遵守公司的安全政策和程序

此外,应遵守公司的安全政策和程序,如按照数据分类系统流通信息,不打开来历不明的电子邮件等。在发布任何信息时,应确认请求者的身份和对方的授权。

(3) 通知业务

最后,当怀疑发生攻击时,应向有关部门报告。

结语

社会工程实际上是一种利用人类弱点的欺诈技术。它是一种很难防范的攻击模式,只有具备高度的危机意识和警惕性,才能减少社会工程学攻击的危害。

来源:iSecurity

Click to rate this post!
[Total: 1 Average: 5]

相关文章

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注