博客
什么是社会工程学?常见示例和预防提示
抽象形状抽象形状
加入27,000多个网络安全通讯订阅者

社会工程学是 攻击载体 利用人类的心理和易感性来操纵受害者泄露机密信息并 敏感数据 或执行违反常规安全标准的操作。 

通常,社会工程学的成功取决于缺乏网络安全意识培训和缺乏员工教育。员工是第一道防线,通常是本来就不安全的最薄弱环节 纵深防御 strategy. 

而且'不仅员工组织需要担心。 第三方厂商 通常是最大的安全威胁,因此仅需一个第三方即可暴露 敏感数据。这就是为什么 供应商风险管理 并使用供应商 SOC 2 保证是如此重要。 

为什么网络罪犯使用社会工程学?

网络犯罪分子使用社会工程技术来掩饰其真实身份,并以可信赖的消息来源或个人身份展现自己。目的是影响,操纵或诱骗受害者放弃个人信息或在组织中获得未经授权的访问。

大多数社会工程剥削人'乐于助人。例如,攻击者可能冒充同事,例如遇到紧急问题。过期发票。  

社会工程学是一种越来越流行的颠覆方式 信息安全 因为利用人的弱点通常比利用人的弱点容易 网络安全 or 漏洞.

话虽如此,社会工程学可以作为更大的第一阶段 网络攻击 设计渗透系统,安装 恶意软件 or expose 敏感数据.  

社会工程学如何运作?

社会工程师使用广泛的社会工程策略,这些策略依赖于影响力的六项原则。

也就是说,大多数社会工程学攻击的第一步是收集有关目标的信息。 

例如,如果目标是组织,则攻击者可以 利用 较差的 欧宝 收集有关公司结构,内部运营,行业术语, 第三方供应商 以及其他可公开访问的信息,列出了在线和面对面的社交媒体资料。

在许多情况下,第一个目标将是低级员工,其登录凭证可用于获取对内部信息的访问权限,这些内部信息可用于 鱼叉式网络钓鱼 或其他更有针对性的  网络威胁

社会工程攻击会泄露敏感信息,例如社会保险号或信用卡号,并导致 数据泄露 and 数据泄漏 of 个人身份信息(PII) and 受保护的健康信息(PHI).

影响力的六个原则是什么?

所有社会工程技术都依赖于人类交互和决策方面的开发,这些方面被称为认知偏差。认为偏见是 漏洞 在人类软件中可以被利用,就像上面列出的基于软件的漏洞一样 CVE

社会工程学严重依赖Robert Cialdini's, Regents'亚利桑那州立大学心理学和市场营销名誉教授,畅销书作者,基于六项原则的影响理论:

  1. 互惠: 人们倾向于回馈青睐,这解释了免费样品在营销中的普遍性。诈骗者可以免费向目标提供一些东西,然后请求访问敏感信息。
  2. 承诺和一致性: 如果人们通过口头或书面方式对目标或构想作出承诺,则即使遵从原始动机,他们也很可能会兑现承诺,因为它符合他们的自我形象。 
  3. 社会证明: 人们倾向于做别人正在做的事情。
  4. 权威: 即使被要求做出令人反感的行为,人们也倾向于服从权威人物。这就是为什么 鱼叉式网络钓鱼 使用首席执行官的广告系列'的名称和目标低级员工可以成功。
  5. 喜欢: 人们容易被自己喜欢的人说服,因此,为什么鱼叉网络钓鱼者在鱼叉网络钓鱼活动中经常冒充同事或朋友的身份。
  6. 缺乏: 感知到的稀缺性增加了需求,因此,为什么社会工程师经常会产生紧迫感。

社会工程攻击有哪些类型?

常见的社会工程攻击包括:

  • 诱饵: 一种社会工程,攻击者将物理设备感染了 恶意软件类型 在一个可以找到的地方,例如USB。受害人将USB插入计算机后,无意中感染了 恶意软件.
  • 转移盗窃: 社会工程师欺骗快递公司将包裹发送到其他位置并拦截邮件。 
  • 蜂蜜陷阱: 骗子 冒充网上有魅力的人,以建立虚假的网上关系来赚钱或聚集 个人身份信息(PII) like the victim'的电话号码和电子邮件帐户。
  • 网络钓鱼: 网络钓鱼 攻击通过伪装成可信任的来源来收集敏感信息,例如登录凭据,信用卡号,银行帐户详细信息。常见的网络钓鱼诈骗是 电子邮件欺骗 伪装成金融机构等可信任的来源,诱骗受害者单击恶意链接或下载受感染的附件。仿冒电子邮件通常会产生一种紧迫感,使受害者感到迅速泄漏信息很重要。尽管是相对简单的攻击,但网络钓鱼仍是最大的攻击之一 网络安全风险.
  • 借口: 假冒是为了获得对个人数据或其他特权信息的访问。例如,欺诈者可能冒充 第三方供应商,说他们需要知道您的全名和职务才能验证您的身份。 
  • 已退出: 常规攻击利用人类的互惠趋势来获取访问信息。例如,攻击者可能通过电话给受害者提供免费的技术支持,并要求他们关闭其防病毒软件或安装控制其操作系统的特洛伊木马。 
  • 流氓安全软件: 流氓安全软件或恐吓软件是声称计算机上存在恶意软件的假冒安全软件。最终用户会收到一个弹出窗口,要求您支付清除费用。如果没有付款'不会弹出窗口,但是文件通常是安全的。
  • 鱼叉式网络钓鱼: 鱼叉式网络钓鱼是 电子邮件欺骗 针对特定组织或个人的攻击。鱼叉式网络钓鱼电子邮件旨在感染受害者 勒索软件 或欺骗他们揭示 敏感数据 和敏感信息。  
  • 闻到: 网络钓鱼或SMS网络钓鱼是通过SMS而不是电子邮件的传统媒介进行的网络钓鱼。 
  • 尾随: 尾随或piggy带是指攻击者将某人跟随到安全区域中。这类攻击取决于被追踪者,前提是该人具有进入该地区的合法权限。
  • 许愿: 钓鱼或语音钓鱼是通过电话进行的,通常以Skype等IP语音(VoIP)服务的用户为目标。许愿与声音深深的假货搭配在一起是巨大的 网络安全风险。根据 华尔街日报,一家英国能源公司的首席执行官向一名攻击者发送了243,000美元'的银行帐户,认为他正在给老板打电话。
  • 水坑: 水坑攻击是指攻击者通过感染他们认识和信任的网站来锁定特定人群的目标,例如通过利用过时的 SSL协议证书抢注, 缺少 域名系统 or 域名劫持
  • 捕鲸: 捕鲸 是一种鱼叉式网络钓鱼的形式,其目标对象是上市公司高管,政治人物或名人等知名人士。例如,捕鲸攻击通常以首席执行官提出的虚假请求的形式出现,要求人力资源部门将其现有的工资明细更改为网络钓鱼者设置的工资明细。 

抵制社会工程学的最佳方法是什么?

组织可以减少 网络安全风险 社会工程学专业:

  • 培训员工: 与员工相关的安全意识培训'职位可以降低他们的风险'会成为社会工程攻击的牺牲品,例如概述当通过电子邮件询问信息以及有人试图将其拖入办公室时的处理方法。
  • 流程: 建立一个 信息安全政策 概述了如何避免社交工程并拥有 事件响应计划 对...做出反应 数据泄露 and 数据泄漏 减少任何一种社会工程攻击的影响。  
  • 仔细检查信息: 教员工仔细检查收到的每封电子邮件以及插入计算机的每台设备。通过识别哪些信息是敏感的,并评估在社会工程攻击中如何暴露这些信息,可以帮助组织制定对策并缓解 网络安全风险
  • 安全协议: 建立并 信息风险管理 具有安全协议,策略和过程的程序,概述了如何处理 数据安全
  • 测试: 测试您的组织并对其进行社会工程攻击。寄假货 网络钓鱼 旨在测试员工是否参与该邮件的电子邮件,单击链接并下载附件。
  • 接种量: 就像疫苗接种一样,如果您的组织经常受到社会工程攻击,则可以变得更有抵抗力,这就是为什么每年进行多次测试很重要的原因。
  • 评论: 随着时间的流逝,查看您的对策和针对社会工程攻击的培训,并改善或丢弃过时的信息。 
  • 废物管理: 使用安全的废物管理服务,以便社会工程师可以't从垃圾箱收集有关您的组织的信息并使用它来启动 鱼叉式网络钓鱼 或其他针对性的社会工程运动。 
  • 多因素验证: 要求用户知道一些东西(密码),拥有一些东西(令牌)并成为某种东西(生物识别)以进行付款或执行敏感操作。 
  • 运营安全性: 欧宝 是一个过程,该过程可以识别友好的操作,如果对其进行了适当的分析并与其他数据进行分组以揭示关键信息,则该操作可能对潜在的攻击者有用 敏感数据。通过采用OPSEC做法,组织可以减少社交工程师可以收集的信息量。
  • 供应商风险管理: It'不再仅仅专注于您的组织's 网络弹性网络安全第三方厂商 越来越多地处理 个人身份信息(PII) and 受保护的健康信息(PHI),这使它们成为想要访问个人数据的社会工程师的主要目标。开发一个 第三方风险管理框架供应商管理政策 and perform a 网络安全风险评估 在加入新供应商或继续使用现有供应商之前。它's much easier to 防止数据泄露 而不是清理它们,尤其是在 暗网。寻找可以 自动化供应商风险管理 and 持续监控和评价您的供应商' 网络安全等级
  • 凭证检测泄漏: 很难知道在网络钓鱼攻击期间何时公开了凭据。一些网络钓鱼者可能要等待数月或数年才能使用他们收集的凭据,因此您的组织应该  连续扫描数据泄露和凭证泄漏

谁是著名的社会工程师?

著名的社会工程师包括:

  • 凯文·米特尼克: 米特尼克(Mitnick)总部位于美国,是一名计算机安全顾问,作家和黑客,以他在1995年被高调逮捕和五年因各种计算机和通信相关犯罪定罪而闻名。
  • 苏珊·海德利(Susan Headley): 一位在1970年代末和1980年代初活跃的美国黑客,以其在社会工程,借口和颠覆心理方面的专业知识而闻名。 
  • 巴迪尔兄弟: 拉米(Ramy),穆赫热(Muzher)和沙德尔·巴迪(Shaddle Badir)兄弟都是出生盲人,他们在1990年代使用社会工程学,电子信箱和盲文显示器计算机在以色列建立了广泛的电话和计算机欺诈计划。
  • 弗兰克·阿巴格纳勒(Frank Abagnale): 弗兰克·阿巴格纳勒(Frank Abagnale)是一位美国安全顾问,以其15至21岁之间的骗子,支票伪造者和冒名顶替者的背景而闻名。他可能是世界'最畅销的社会工程师,因为他的畅销书 如果可以的话赶上我 改编成由奥斯卡奖得主史蒂芬·斯皮尔伯格(Steven Spielberg)和莱昂纳多·迪卡普里奥(Leonardo DiCaprio)饰演的Abagnale导演的电影。

社会工程攻击的例子有哪些?

最著名的社会工程学攻击来自古希腊关于欺骗性特洛伊木马的故事,该故事导致特洛伊城陷落,在那里,士兵们藏在献给特洛伊木马的巨大木马中,作为和平的礼物。 

最近的一个例子是成功导致2011年的社会工程学攻击 数据泄露 RSA。攻击者在两天内向RSA员工组发送了两封网络钓鱼电子邮件,主题行为"2011年招聘计划"以及利用Adobe Flash的受感染Excel文档 脆弱性 (CVE-2011-0609).

2013年,Target遭受了大规模的数据泄露,始于 第三方供应商 陷入网上诱骗电子邮件。该电子邮件包含木马,使攻击者能够访问Target'的POS系统导致4,000万目标客户的盗窃'信用卡细节。 

UpGuard如何防止数据泄露和数据泄漏 

像这样的公司 洲际交流泰勒·弗莱纽约证券交易所,IAG,First State Super,Akamai,Morningstar和NASA使用UpGuard保护其数据, 防止数据泄露,监视 漏洞 and avoid 恶意软件.

We'我们是数据泄露方面的专家 数据泄露研究 已在 纽约时报彭博社华盛顿邮报福布斯路透社 and Techcrunch。

UpGuard BreachSight can help combat 抢注, 避免 数据泄露 and 数据泄漏,避免监管罚款并保护您的客户's trust through 网络安全等级 和连续曝光检测。我们'将监视您的组织's 网络钓鱼 risk too.

UpGuard供应商风险 通过自动化可以最大程度地减少组织花费在管理第三方关系上的时间 供应商问卷 并持续监控您的供应商' 安全态势 随着时间的流逝,同时将它们与行业进行比较。 

每个供应商均根据50多个标准(例如是否存在 SSL协议 and 域名系统,以及 域名劫持中间人攻击 and 电子邮件欺骗 for 网络钓鱼.

每天,我们的平台都会通过 网络安全等级 out 的 950. We'如果他们的分数下降,我会提醒您。

如果你'd想看看您的组织如何堆叠, 获得免费的网络安全评级

立即预订演示。

自由

白色UpGuard徽标
可供下载的UpGuard免费资源
学到更多

下载我们的免费电子书和白皮书

关于网络安全和供应商风险管理的见解。
白色UpGuard徽标
电子书,报告& Whitepapers
可供下载的UpGuard免费资源
UpGuard客户支持团队UpGuard客户支持团队UpGuard客户支持团队

观看UpGuard的实际应用

与我们的一位网络安全专家预订免费的个性化入职电话。
抽象形状抽象形状

相关文章

了解有关网络安全的最新问题的更多信息。
传送图标

注册我们的时事通讯

每周在收件箱中获取最新精选的网络安全新闻,漏洞,事件和更新。
抽象形状抽象形状
免费即时安全评分

您的组织有多安全?

索取免费的网络安全报告,以发现您的网站,电子邮件,网络和品牌上的主要风险。
  • 检查图标
    您可以立即采取行动的即时见解
  • 检查图标
    13个风险因素,包括电子邮件安全,SSL,DNS运行状况,开放端口和常见漏洞
网站安全扫描结果网站安全扫描等级抽象形状