本文講的是揭秘6種最有效的社會工程學攻擊手段及防禦之策,
世界第一黑客凱文•公尺特尼克在《欺騙的藝術》中曾提到,人為因素才是安全的軟肋。很多公司在資訊保安上投入重金,最終導致資料洩露的原因卻在人本身。你可能想象不到,對黑客來說,通過網路遠端滲透破解獲得資料,可能是最為麻煩的方法。一種無需電腦網路,更注重研究人性弱點的黑客手法正在興起,這就是社會工程學攻擊。
社會工程學是一種通過人際交流的方式獲得資訊的非技術滲透手段。不幸的是, 這種手段有效, 而且效率很高。 事實上,社會工程學已是企業安全最大的威脅之一。下面就為大家總結攻擊者使用的6種最有效的社會工程技術,並為大家提供每種手段的工作原理及實現方法,以及用來檢測和響應社會工程破壞者的技術、方法和策略,有效地實現自身安全防護。
技術一:啟用巨集
網路攻擊者正在使用社交工程學手段來誘騙企業使用者啟用巨集,以便巨集惡意軟體能夠正常執行。在針對烏克蘭關鍵基礎設施的網路攻擊中,microsoft office文件**現了虛假的對話方塊,告訴使用者啟用巨集來正確顯示在microsoft產品的最新版本中建立的內容。
攻擊者用俄語編輯了對話文字並讓對話看起來像是出自microsoft。當使用者遵循要求並啟用巨集時,該檔案的惡意軟體就會感染使用者裝置。cyberx工業網路安全副總裁phil neray表示,這種網路釣魚策略使用了乙個有趣的社會工程技術來解決大多數使用者關閉巨集的事實。
技術二:性勒索
這些攻擊手段已經開始針對企業使用者,通過使用社交**瞄準企業的高層人員,隨後通過性勒索手段向他們索要很多企業的敏感資料。技術三:培養親和度的社會工程手段親和社會工程是指攻擊者可以和目標之間基於共同的興趣或某種相互辨認的方式進行聯絡。乙個經驗豐富的社會工程學黑客會精於讀懂他人肢體語言並加以利用。他可能和你同時出現乙個**會上,和你一樣對某個節段異常欣賞,和你交流時總能給於適當的反饋,你感覺遇到知己,你和他之間開始建立乙個雙向開放的紐帶,慢慢地他就開始影響你,向你套取一些資訊(最初是無害的資訊),隨後要求更多的敏感資訊。一旦掌握一定程度的資訊,他們就會進行勒索行為。
技術四:虛假招聘資訊
因為有很多獵頭都在尋找合適的應聘者,所以如果攻擊者提供誘人的職位薪資來獲取應聘者的資訊,這一點也不會引起別人的懷疑。
johnston表示:
這種手段可能不會直接洩漏計算機密碼,但是攻擊者可以獲取足夠的資料來確定誰是你公司的密碼管理者。攻擊者也可以威脅員工稱『已經告訴老闆他們計畫離開公司,並已經共享了機密資訊』,以便利用受害者。技術五:偽裝成新人打入內部如果希望非常確定地獲取公司資訊,黑客還可以專門去應聘,從而成為真正的自己人。這也是每個新員工應聘都必須經過徹底審查階段的原因之一。當然,還是有些黑客可以瞞天過海,所以新員工的環境也應有所限制,這聽起來有些嚴酷,但必須給新員工一段時間來證明,他們對寶貴的公司核心資產來說是值得信任的。即使如此,優秀的黑客都通曉這套工作流程,在完全獲得信任後才展開攻擊。
技術六:社會工程機械人(bot)
perimeterx的首席研究員inbar raz說:
對於高度複雜、有害的社會工程活動通常由惡意機械人負責,機械人通過感染具有惡意擴充套件的web瀏覽器,能夠劫持網路對話,並使用儲存在瀏覽器中的社交網路憑證將受感染的郵件傳送給朋友。防禦有道:針對六種社會工程技術的防禦、檢測和響應術在烏克蘭的攻擊案例中,如果不允許使用者啟用巨集可能攻擊不會帶來如此大的影響。neray表示,企業可以使用深度包檢測技術(dpi)、行為分析以及威脅情報來監控網路層的異常行為,例如烏克蘭攻擊案例中展示的帶巨集病毒的microsoft office文件。企業可以使用下一代終端安全技術來對端點裝置執行類似的功能,這些技術將有助於減輕許多社會工程攻擊。
neray進一步補充道,企業應該強制在網路和端點上應用網路分段掃瞄、多因素身份驗證以及攻擊後(post-attack)取證等方法,以阻止橫向感染,限制由於被盜憑證導致的損失,並了解違規行為的範圍,以確保刪除所有相關的惡意軟體。
而針對性勒索手段,maude表示,企業應該將最低許可權零信任(zero trust)和行為檢測相結合來解決性勒索問題,並監視攻擊行為和限制洩漏憑證濫用等。如果網路犯罪分子攻擊了企業員工並對其進行性勒索,而勒索的資訊極有可能是企業敏感資料。這時候,法律、人力資源以及執法部門就需要發揮作用了,培養員工防範意識和應對技巧對降低損失有非常明顯的作用。
針對偽裝新人的攻擊手段,johnston說,要檢測以工作的幌子混入公司的間諜,可以考慮那些從未休假甚至是病假的員工,因為他們或許會擔心自己離開公司後,他們的活動會被檢測到。
針對惡意機械人的攻擊手段,可以使用諸如異常行為監控產品和一些防病毒和反惡意軟體等工具,能夠有效地檢測出惡意機械人行為以及其對瀏覽器做出的改變。企業還可以使用威脅情報和ip位址信任資訊來檢測一些較弱的機械人(bot)。
終極大招還是非員工培訓莫屬!隨著社會工程手段不斷更新,企業也需要相應地更新員工培訓內容,以了解犯罪分子使用社會工程手段的工作原理。johnston說,
通過將安全防禦策略和培訓相結合,企業可以抵制新舊各種形式的社會工程手段,最重要的是,企業和員工必須切實落實安全防護工作,莫留給攻擊者可乘之機。
原文發布時間為:2023年4月1日
一次社會工程學攻擊
首先是更改ettecap的配置 usr local share ettercap etter.dns檔案 新增你需要欺騙的 如 mails.gmail.com a 10.0.0.12 啟動ettercap ettercap g 先進行arp中間人攻擊,然後管理外掛程式,雙擊新增dns spoof,這...
社會工程學的大牛
2010年11月13日,34歲的佛羅里達居民christopher chaney 想搜尋明星未公開的 他從乙個法庭文件上知道了好萊塢著名手包設計師西蒙娜 哈露什 simone harouche 的電郵帳號,但不知道密碼。他利用從網上搜尋到的郵箱安全問題答案,聯絡蘋果的電郵服務,重置了密碼。他將哈露什...
關於社會工程學的利用
關於社會工程學的利用 backli 總體上來說,社會工程學就是使人們順從你的意願 滿足你的慾望的一門藝術與學問。它並不單純是一種控制意志的途徑,但它不能幫助你掌握人們在非正常意識以外的行為,且學習與運用這門學問一點也不容易。網路 名詞解釋 社會工程學 簡單說,它利用人的心理弱點 規章與制度的漏洞來攻...