– **学习内容**:

  – 深入了解社会工程学中的常见攻击类型,包括钓鱼攻击、冒充、尾随等。

  – 阅读材料:关于这些攻击类型的详细介绍,如《社会工程学:黑客如何从你的社交圈中窃取秘密》的相关章节或在线文章。

– **作业**:

  – 制作一张信息图表,展示各种社会工程攻击类型及其特征。

  – 撰写一段简短的总结(200-300字),说明每种攻击类型如何实施以及它们的潜在影响。

社会工程的常见类型

网络钓鱼(Phishing)

网络钓鱼是最常见的社会工程攻击类型。攻击者通过电子邮件、语音通话、即时聊天、网络广告或虚假网站等形式,窃取机密的个人信息或公司信息。

首先,网络钓鱼之所以能够成功,通常是因为攻击者准备的虚假信息和欺骗手段高度仿真,这使得受害者很容易忽视相关操作的危险性,大大提高了社会工程的成功率。其次,网络钓鱼一般会让受害者感受到紧迫、恐惧或好奇,这使得受害者短时间内只专注于攻击者编造的信息,无暇仔细分辨信息的真假。

举一个例子:

受害者收到一封银行发送的电子邮件,声称其账户存在风险,需要提供诸如姓名、身份证号、手机号、银行卡号、银行卡密码等信息,然后银行方可帮助他恢复安全状态。实际上这根本不是银行发的邮件,而是攻击者发送的钓鱼邮件。如果攻击者“敬业”一点,他还会搭建一个足以以假乱真的银行网站,让受害者登录该网站进行一些操作,然后从中获取受害者的关键个人信息。受害者由于担心自己个人财产收到危害,所以不会仔细去分辨邮件信息和网站的真假,这就落入了陷阱。

鱼叉式网络钓鱼(Spear Phishing)

鱼叉式网络钓鱼实际上就是一种更有针对性的网络钓鱼。相对而言,普通的网络钓鱼随机性更大,攻击者并不聚焦于具体的受害者,而是广泛散播有害信息。而鱼叉式网络钓鱼会选择具体的受害者,例如企业高管或网络管理员,通过对受害者的特征、工作职位和联系人等信息进行详细了解,制定一份可信度非常高的钓鱼方案,提高社会工程的成功率。

举一个例子:

受害者平时喜欢浏览汽车相关的网站,有一天他收到一封邮件,发件人“似乎”是平时经常浏览的网站之一。邮件内容是关于某款最新车型的测评文章,且提供了更详细内容的网站链接。受害者对此非常感兴趣,基本上就会点击这个链接,也就落入了攻击者的陷阱。

诱饵(Baiting)

顾名思义,这种社会工程方式是利用人们对某种奖励的渴望,引诱人们落入陷阱。诱饵与网络钓鱼在很多方面有相似性,但是区别在于诱饵更强调对受害者的“奖励”,所以受害者往往会因为利益的原因而落入攻击者的陷阱。

诱饵既可以是物理的,也可以是虚拟的(毕竟现在是数字时代)。

物理诱饵大都以存储介质的形态进行传播,我们拿U盘来举例。例如参加活动时的免费赠品,一般人都会认为这是个空的U盘,攻击者正是利用这个心理事先预置了恶意程序,一旦受害者插上U盘即会被感染。还有一种更戏剧性的传播方式,那就是假装U盘被遗落在某个很显眼的地点(例如公司大厅或洗手间),而且上面还带着引人注目的标签(例如工资明细)。相信我,很多人都会感兴趣想偷偷看一眼的,殊不知攻击者也在偷偷看着他。

虚拟诱饵就简单多了,只需设计好吸引人的外观,例如免费礼品的网站链接或者某个吸引人的活动链接,自然有很多人会感兴趣去点击链接的,恶意程序也就趁此侵入受害者的系统。

水坑(Watering Hole)

水坑的名称来源于自然界的捕食方式,即很多捕食者会守候在水源旁边,伏击来饮水的其他动物,提高捕食的成功率。

攻击者会通过前期的调查,确定受害者(往往是一个特定群体)经常访问的一些网站,并在网站上部署恶意程序,当受害者访问网站时即会被感染。事实上,很多大型网站都会非常注意网络安全,防止自己被攻击者利用,这将导致用户对自己不信任,继而影响网站的声誉。所以,很多攻击者都会选择一些中小型网站,或者技术和资金并不雄厚的网站,这也提醒大家在访问此类网站时要格外小心。

语音网络钓鱼(Vishing)和短信网络钓鱼(Smishing)

语音网络钓鱼和短信网络钓鱼可以算是网络钓鱼的两种方式,前者通过电话实施社会工程,后者通过短信。这两种方式显然针对的是更老派的受害者,他们不怎么使用网络,也看不懂那些“精美的”骗术,这让攻击者有种无力感。

针对这类人群,攻击者采用了更传统的骗术,即通过电话或短信来使受害者落入陷阱。攻击者大都使用机器人来实施欺骗过程,当前高水平的机器人几乎可以代替真人来完成交流,这大大提高了攻击者的效率。

伪装(Pretexting)

伪装这种方式主要是利用虚假的身份来欺骗受害者。攻击者通常会假装成处于强大地位的人,迫使受害者按照他的指示来提供重要信息。

举一个例子:

攻击者冒充有执法权的官员,先取得 受害者的信任,然后要求受害者 提供一些个人信息来证实自己的身份。最终将从受害者处获得所需的信息,并使用这些信息进行身份盗窃或发动二次攻击。

交换条件(Quid Pro Quo)

交换条件是指攻击者依靠信息或服务的交易,促使受害者配合自己的要求,进而获得重要的个人信息。与诱饵类似,交换条件也声称会为受害者带来好处,这种好处通常采取服务的形式,而诱饵通常采取实物的形式。

举一个例子:

攻击者冒充IT支持人员打电话给受害者,宣称可以提供技术支持或软件升级,需要受害者提供自己的账号信息,以获得临时权限。一旦受害者提供了此类信息,攻击者即可利用这些信息完成相关攻击或信息盗取。

恶意软件(Malware)

这种方式是令受害者相信其计算机中已被安装恶意软件,只有按照攻击者的要求去做,才能删除这些恶意软件。

通常攻击者会要求受害者支付一定的金额,然后再解除恶意软件。实际上就算受害者按照攻击者要求去做,攻击者也不会放过这个好机会,他们 会趁此过程获取个人关键信息,甚至于真的安装上一个恶意软件 。

尾随(Tailgating)和背靠背(Piggybacking attacks)

尾随也可以称为背靠背,这种方式是指没有授权的人借助其他人的授权,进入受限的区域或系统。

举几个常见的例子:

  • 攻击者紧跟在受害者身后,在受害者进入到某个区域后,快速跟进到该区域内。
  • 攻击者假装成忘带身份证明的员工,并请其他员工或把守门禁的人帮其开门。
  • 攻击者假装借用受害者的电脑,然后迅速安装上恶意软件。

如何防范社会工程

要防范社会工程,首先要引导人们改变一些固有行为和意识。当大家都明白社会工程是如何开展的,基于此产生的攻击后果有多么严重,那么人们就会在查阅电子邮件、语音信箱、短信或中小网站时保持一定的警惕和怀疑。

然而,改变固有行为和意识并非一朝一夕的事,我们首先需要经常宣传网络安全常识,并通过实例来加深人们印象。下面就是关于这方面的一些建议:

  • 加强网络安全意识培训,降低人为因素的风险。可以利用一些工具和网站实现模拟社会工程,以此来锻炼人们的防骗能力。
  • 宣传真实的案例来加深人们的印象,尤其是同事或朋友这种比较亲密的关系,会让人们感受到这不是遥不可及的事件。
  • 加强网络安全建设,使用多因素身份验证,提高应用程序的帐户安全性。因为很多社会工程的首要目的就是获取账户权限。
  • 保持各种软件和系统的实时更新,定期扫描系统以查找可能受到威胁的主机。
  • 个人在设置密码和账户权限时,要避免使用可能公开获取到的信息,例如生日、生活的城市、宠物名字等。