博客
什么是社会工程? 12个预防提示2021

什么是社会工程? 12个预防提示2021

摘要形状摘要形状

社会工程在网络安全的背景下,使用欺骗来说服个人在网上放弃他们的个人信息。然后在Cyber​​Attack中利用此信息。

数据违规运动的最困难的阶段正在渗透生态系统。社会工程攻击显着简单地简单地是这种阶段,因为受害者基本上致力于威胁到内部网络的关键。

因为社会工程攻击有助于网络罪犯这么多,他们将继续普遍。目前,33%的数据泄露是由社会工程攻击引起的,因此通过实施预防努力,将避免所有数据泄露的三分之一。

在这篇文章中,我们讨论了共同的社会工程示例,并提供了12个预防提示,以便在2021年保持生态系统安全。

为什么网络犯罪分子使用社会工程?

网络犯罪分子使用社会工程技术来隐瞒自己的真实身份,并将自己作为可信的来源或个人。目标是影响,操纵或诱使受害者放弃个人信息或在组织中获得未经授权的访问。

大多数社会工程利用人们'愿意有用。例如,攻击者可能作为一个迫切问题的同事姿势。逾期发票。  

社会工程是一种越来越受欢迎的颠覆方式 信息安全 因为它通常更容易利用人类的弱点 网络安全 或者 漏洞.

也就是说,社会工程可以用作更大的第一阶段 网络攻击 设计渗透系统,安装 恶意软件 或露出 敏感数据.  

社会工程如何工作?

社会工程师使用广泛的社会工程策略依赖于六个影响原则。

也就是说,大多数社会工程攻击的第一步是收集关于目标的信息。

例如,如果目标是组织,攻击者可以 开发 较差的 opsec. 为企业结构,内部运营,行业行业而聚集智能的实践, 第三方供应商以及社交媒体简介,在线和亲自列出的其他公开可访问的信息。

在许多情况下,第一个目标将是一个低级员工,其登录凭证可用于访问可用于的内部信息 矛网络钓鱼 或其他更具目标 网络威胁.

社会工程攻击暴露敏感信息,如社会安全号码或信用卡号,并导致 数据违规数据泄漏个人身份信息(PII)受保护的健康信息(PHI).

有什么影响的影响原则是什么?

所有社会工程技术都依赖于利用人类互动和决策称为认知偏见的方面。想到偏见 漏洞 在人类软件中,可以利用就像列出的软件漏洞一样 CVE..

社会工程严重依赖于罗伯特卡尼尼's, Regents'亚利桑那州立大学心理学与营销教授,畅销作者,基于六个原则的影响理论:

1.互惠

人们倾向于返回一个忙,这解释了营销中免费样品的普及。诈骗者可以免费提供目标,然后请求访问敏感信息。

社会工程互惠典范:

攻击者正在展示善意使受害者感到被迫通过提供敏感的访问信息来回应情绪。

2.承诺和一致性

如果人们犯下,口头或书面,他们的目标或想法'即使删除了原始动力,也会更有可能履行承诺。

承诺和一致性的社会工程例子:

员工随着攻击者遵循'S请求登录凭据,因为它们最初同意提供它,即使他们意识到它应该't be done.

3.社会证明

人们倾向于做其他人正在做的事情。

社会证明的社会工程例证:

攻击者提供了受害者的错误证据'S的同事最近与他们合作。这迫使受害者遵守。

4.权威

人们倾向于服从权威人物,即使被要求做令人反感的行为。这就是为什么 矛网络钓鱼 使用首席执行官的活动'S名称和目标低级员工可以成功。

社会工程权威:

攻击者作为一个权威人物,无论是在目标工作场所还​​是在社会中,例如,警察,律师等。

5.喜欢

人们很容易被他们喜欢的人说服,因此为什么矛观察者将经常在矛网络钓鱼活动中作为同事或朋友化妆。

社会工程典范的喜好

攻击恭维受害者似乎很讨人喜欢。

6.稀缺

感知稀缺增加了需求,因此为什么社会工程师往往会产生紧迫感。

社会工程稀缺的例子:

攻击者给出了迫切需要一组凭据的令人信服的原因。

社会工程攻击的例子

常见的社会工程攻击包括:

诱饵

一种社交工程,攻击者离开感染的物理设备 恶意软件类型 在一个地方,它将被发现,例如, USB。受害者将USB插入计算机,无意中感染计算机 恶意软件.

转移盗窃

社交工程师欺骗送货公司将包裹发送到不同的位置并拦截邮件。

蜂蜜陷阱

一个艺术家 姿势作为一个有吸引力的人在线建立一个假的在线关系来赚钱或聚集 个人身份信息(PII) like the victim'S电话号码和电子邮件帐户。

网络钓鱼

网络钓鱼 通过伪装成可信源,攻击登录凭据,信用卡号,银行账户详细信息等敏感信息。常见的网络钓鱼骗局是使用 电子邮件欺骗 伪装成一个值得信赖的来源,如金融机构,以欺骗受害者点击恶意链接或下载受感染的附件。网络钓鱼电子邮件经常创造一种紧迫感,使受害者感到迅速泄露信息很重要。尽管是一个相对令人不重要的攻击,但网络钓鱼是最大的 网络安全风险.

前伸展

预示正在阐述以访问个人数据或其他特权信息。例如,欺诈者可能会姿势 第三方供应商,称他们需要了解您的全名和标题以验证您的身份。

quid pro quo.

Quid Pro攻击使用互惠的人为倾向来获得信息的访问权限。例如,攻击者可以通过电话给受害者提供免费的技术支持,并要求他们关闭他们的防病毒软件或安装控制其操作系统的特洛伊木马。

rogue安全软件

流氓安全软件或ScareWare是假设安全软件,索赔恶意软件在计算机上。最终用户收到要求删除付款的弹出窗口。如果付款是't制作,弹出窗口将继续,但文件通常是安全的。

矛网络钓鱼

矛网络钓鱼是一个 电子邮件欺骗 攻击针对特定的组织或个人。矛网络钓鱼电子邮件旨在让受害者感染 勒索制造器 或欺骗他们揭示 敏感数据 和敏感的信息。  

冒险

冒险或SMS网络钓鱼是通过短信而不是传统的电子邮件媒介进行网络钓鱼。

尾随

尾随或捎带是攻击者遵循一个人进入安全区域时。这种类型的攻击依赖于所遵循的人,假设该人具有合法访问该地区。

浪岭

通过电话进行的熏蒸或语音网络钓鱼,并且通常针对IP语音(VoIP)服务等用户这样的用户。浪花与声音深迎家的搭配是一种巨大的 网络安全风险。根据 华尔街日报,英国的能源公司首席执行官向攻击者发送了243,000美元'相信他是在手机上给他的老板的银行账户。

waterholing.

一个浇水孔攻击是攻击者通过感染他们认识和信任的网站来针对一个特定的人群时,例如,攻击者通过利用过时的 SSL证书, typosquatting., 缺乏 DNSSEC. 或者 域名劫持.

捕鲸

捕鲸 是一种矛网络钓鱼的形式,瞄准公共公司高管,政治家或名人等高调的个人。例如,捕鲸袭击通常来自首席执行官的假请求的形式,要求人力资源部门将现有工资单细则更改为Phiper成立的人。

12种防止社会工程攻击的方法

社会工程攻击可以通过以下12项预防策略来实现未降低社会工程攻击的最佳机会。

1.教育员工

无知是员工占社会工程袭击的主要原因。组织应该教育他们的员工如何应对常见的违规行为。例如,当有人试图后台或者有人试图将员工转向办公室时,何时要求何时会这样做。

以下列表概述了一些最常见的网络ack。每个链接将打开一个博客文章,可用于工作场所中的网络犯罪意识培训:

2.建立安全政策

建立一个 信息安全政策 这概述了要避免社会工程,并有一个 事件响应计划 反应 数据违规数据泄漏 减少任何一个社会工程攻击的影响。  

3.仔细审查所有信息

教授员工仔细审查他们收到的每台电子邮件以及他们插入计算机的每个设备。通过识别信息敏感和评估如何在社交工程攻击期间曝光如何,可以帮助组织在对策和减轻方面 网络安全风险.

4.建立安全协议

建立一个 信息风险管理 具有安全协议,策略和程序的程序,概述了如何处理的 数据安全.

5.测试攻击弹性

测试您的组织并对其进行社会工程攻击。送假 网络钓鱼 电子邮件旨在测试员工是否与邮件与邮件进行,单击“链接”和“下载附件”。

6.增加测试攻击

就像疫苗接种一样,如果他们经常暴露在他们身上,您的组织可能会对社会工程攻击变得更具抵抗力,这就是为什么每年多次测试的原因很重要。

7.审查响应协议

随着时间的推移,审查您对社会工程攻击的对策和培训,并改善或丢弃过时的信息。

8.保护所有浪费

使用安全的废物管理服务,以便社交工程师可以'T从垃圾箱收集有关您组织的信息,并使用它来启动矛网络钓鱼或其他有针对性的社会工程竞选活动。

9.使用多因素身份验证

要求用户了解某些内容(密码),有一些东西(令牌),以及某种东西(生物识别学)为了付款或执行敏感行动。

10.运营安全

opsec. 是一个识别可能对潜在攻击者有用的友好行为的过程。如果使用其他数据进行适当分析并分组,OPSEC将显示关键信息或 敏感数据。通过聘请Opsec实践,组织可以减少社会工程师可以收集的信息量。

11.实施第三方风险管理框架

It's不再足以专注于您的组织's 网络弹性 和网络安全, 第三方供应商 越来越多地处理大量 个人身份信息(PII)受保护的健康信息(PHI),这使他们为想要访问个人数据的社交工程师的主要目标。

开发A. 第三方风险管理框架, 供应商管理政策 并执行A. 网络安全风险评估 在船上新供应商或继续使用现有供应商之前。它's much easier to 防止数据违规 而不是清理它们,特别是在被盗数据被卖掉之后 暗网。寻找能够的软件 自动化供应商风险管理不断监控和评估您的供应商' 网络安全评级.

12.检测数据泄漏

何时在网络钓鱼攻击期间暴露凭据时,很难知道。某些网络素可能会等待几个月或多年才能使用他们收集的凭据,这就是为什么您的组织应该是为什么 连续扫描数据风险和泄露的凭证.

值得注意的社会工程师的例子

值得注意的社交工程师包括:

凯文梅内克

基于美国,Mitnick是一家计算机安全顾问,作者和黑客,于1995年以其高调的逮捕而闻名,为各种计算机和通信相关的犯罪的五年信​​念。

苏珊扎金

在20世纪70年代后期和20世纪80年代初期,这是一个美国黑客,以其社会工程,预言和心理颠覆的专业知识而闻名。

巴迪尔兄弟

从出生中盲目的兄弟,兄弟们在20世纪90年代建立了一个广泛的手机和计算机欺诈计划,在20世纪90年代使用社会工程,浪费和盲文显示器。

弗兰克·阿比特

弗兰克·阿比特是一个美国安全顾问,他的背景是作为前骗局,检查伪造者和冒名顶替者,而他在15到21岁之间。他可能是世界'由于他畅销书籍,是最着名的社会工程师 如果你能抓住我 这被调整为由奥斯卡胜利的斯蒂文斯皮尔伯格与莱昂纳多迪西普里奥扮演的Abagnale指导的电影。

社会工程攻击的例子是什么?

最着名的社会工程攻击来自欺骗特洛伊木马的古希腊故事,导致特洛伊市的秋季,士兵在一个巨型木马上隐藏在特洛伊木马作为和平的礼物。

最近的一个例子是成功的社会工程攻击导致了2011年 数据泄露 RSA。攻击者在两天内向一组RSA员工发送了两封网络钓鱼电子邮件"2011年招聘计划"和一个受感染的Excel文件,用于利用Adobe Flash 漏洞 (CVE-2011-0609).

2013年,目标遭遇了一个巨大的数据泄露,它开始了 第三方供应商 落于网络钓鱼电子邮件。电子邮件包含一个特洛伊木马,并使攻击者能够访问目标'S POS系统导致4000万个目标客户的盗窃'信用卡细节。

防止社交工程数据泄露和数据泄漏与Upguard

Upguard将数据泄漏检测引擎与第三方风险管理集成,以创建世界领先的攻击面监测解决方案。

在他们被网络犯罪分子利用之前,发现第三方,甚至是第四派,漏洞, 点击这里 今天免费试用Upguard!

自由

白色upguard徽标
可用于下载的Upguard免费资源
学到更多

下载我们的免费电子书和白皮书

关于网络安全和供应商风险管理的见解。
白色upguard徽标
电子书,报告& Whitepapers
可用于下载的Upguard免费资源
Upguard客户支持团队Upguard客户支持团队Upguard客户支持团队

见上upguard

通过我们的网络安全专家预订免费,个性化的船上呼叫。
摘要形状摘要形状

相关文章

了解有关网络安全中最新问题的更多信息。
提供图标

注册我们的时事通讯

每周获取您收件箱中的最新策划网络安全新闻,违反,活动和更新。
摘要形状摘要形状
免费即时安全分数

您的组织有多安全?

请求免费网络安全报告以发现您的网站,电子邮件,网络和品牌的关键风险。
  • 检查图标
    即时洞察力您可以立即采取行动
  • 检查图标
    数百个风险因素,包括电子邮件安全,SSL,DNS健康,开放式端口和常见漏洞
网站安全扫描结果网站安全扫描评级摘要形状
发布时间: 2021-05-11 02:32:07

最近发表