社會(huì)工程是欺詐者使用操縱策略來(lái)說(shuō)服個(gè)人或組織自愿放棄有價(jià)值的私人信息，現(xiàn)代企業(yè)必須應(yīng)對(duì)一系列網(wǎng)絡(luò)安全威脅，從 DDoS 攻擊和黑客攻擊到病毒和勒索軟件。然而，根據(jù)2019 年 Trustwave 全球安全報(bào)告中發(fā)布的調(diào)查結(jié)果，到目前為止，社交工程是網(wǎng)絡(luò)犯罪分子獲取您的數(shù)據(jù)的主要方法。事實(shí)上，該報(bào)告發(fā)現(xiàn)，企業(yè)環(huán)境中的所有違規(guī)行為中有 46% 可歸因于成功的社會(huì)工程攻擊，而在云和銷售點(diǎn)環(huán)境中這一比例上升至 60%。因此，學(xué)習(xí)防止社會(huì)工程攻擊需要成為所有企業(yè)和個(gè)人的首要任務(wù)。簡(jiǎn)而言之，社會(huì)工程是欺詐者和其他惡意方使用操縱策略，以說(shuō)服個(gè)人或組織自愿放棄有價(jià)值的私人信息，例如用戶名和密碼。在本文中，我們將仔細(xì)研究這一現(xiàn)象，并解釋為什么社會(huì)工程意識(shí)培訓(xùn)如此有價(jià)值。

魚叉式網(wǎng)絡(luò)釣魚的興起

到目前為止，許多人都熟悉與網(wǎng)絡(luò)釣魚電子郵件相關(guān)的危險(xiǎn)，但是，隨著對(duì)所使用方法的整體意識(shí)的提高，網(wǎng)絡(luò)犯罪分子的方法變得更加復(fù)雜和有條理。一個(gè)很好的例子是一種被稱為魚叉式網(wǎng)絡(luò)釣魚的技術(shù)的興起，該技術(shù)針對(duì)特定的個(gè)人。正如 Digital Guardian 的一篇博文所指出的那樣，魚叉式網(wǎng)絡(luò)釣魚不同于更傳統(tǒng)的網(wǎng)絡(luò)釣魚嘗試，因?yàn)楣粽邥?huì)針對(duì)他們專門選擇的目標(biāo)個(gè)人定制他們的外展范圍。多媒體展廳設(shè)計(jì)通過(guò)使用從社交媒體平臺(tái)和其他來(lái)源獲得的個(gè)人信息來(lái)參考姓名、工作角色、實(shí)際位置、假定的共同朋友和其他可能幫助他們獲得信任的信息來(lái)實(shí)現(xiàn)這一點(diǎn)。攻擊者可以偽裝成朋友、同事或商業(yè)伙伴，發(fā)送看似無(wú)辜的消息，通常帶有指向惡意頁(yè)面的鏈接，或者請(qǐng)求隨后可用于惡意目的的信息。通過(guò)采用這種方法，攻擊者可以專注于高價(jià)值目標(biāo)，例如具有較高訪問(wèn)權(quán)限的人或具有一定程度的財(cái)務(wù)權(quán)限的人，而不是采用更加隨機(jī)、分散的方法。與魚叉式網(wǎng)絡(luò)釣魚相關(guān)的最緊迫的危險(xiǎn)之一是它能夠繞過(guò)網(wǎng)絡(luò)釣魚檢測(cè)軟件和其他可能用于篩選更明顯的網(wǎng)絡(luò)釣魚嘗試的保護(hù)方法。考慮到這一點(diǎn)，有效的主要 IT 支持服務(wù)和培訓(xùn)工作包括向員工傳授所使用的技巧。

被入侵的電子郵件和網(wǎng)站

人們可能不太了解的一種社會(huì)工程方法是被入侵的電子郵件帳戶和網(wǎng)站的增加。這是一個(gè)日益嚴(yán)重的問(wèn)題，因?yàn)橐呀?jīng)發(fā)生了大量的數(shù)據(jù)泄露事件，導(dǎo)致登錄憑據(jù)被提供，甚至在暗網(wǎng)上出售給其他網(wǎng)絡(luò)犯罪分子。對(duì)于電子郵件，攻擊者的一般模式是進(jìn)入電子郵件帳戶，然后向該帳戶聯(lián)系人列表中的人發(fā)送看似無(wú)害的消息。實(shí)際上，這些消息通常要么是網(wǎng)絡(luò)釣魚以獲取個(gè)人信息，要么將收件人定向到一個(gè)鏈接，該鏈接會(huì)用惡意軟件感染他們的設(shè)備。“如果多媒體展廳設(shè)計(jì)的朋友給你發(fā)了一封電子郵件，主題是‘看看我發(fā)現(xiàn)的這個(gè)網(wǎng)站，這太棒了’，多媒體展廳設(shè)計(jì)在打開它之前可能不會(huì)三思而后行，”諾頓的一篇文章解釋道?！巴ㄟ^(guò)接管某人的電子郵件帳戶，欺詐者可以使聯(lián)系人列表中的人相信他們正在接收他們認(rèn)識(shí)的人的電子郵件。”對(duì)于網(wǎng)站，攻擊者通常會(huì)獲得可信網(wǎng)站的登錄憑據(jù)，然后用惡意軟件感染它，或者使用它通過(guò) Web 表單向人們請(qǐng)求個(gè)人信息。當(dāng)鏈接包含在電子郵件中或發(fā)布在社交媒體上時(shí)，多媒體展廳設(shè)計(jì)看起來(lái)完全無(wú)害，甚至可能是受害者以前訪問(wèn)過(guò)的網(wǎng)站。