定义社会工程
社会工程是黑客利用人类心理而不是技术访问系统、数据或建筑的技术。例如,使用社会工程的罪犯可能不会发现软件漏洞,而是会打电话给攻击对象并伪装成IT支持者试图引诱他们的密码。
着名黑客Kevin Mitnick上世纪90年代推广“社交工程”虽然这种想法和技术早在有骗子的时候就存在了。
社会工程中使用的技术
社会工程已被证明是社会工程犯罪分子“进入”一个非常成功的企业方式。犯罪分子一旦获得受害者的账户和密码,就可以登录并窥探敏感数据。当使用门禁卡或密码进入设施时,社会工程犯罪分子可以访问数据,窃取资产,甚至伤害他人。
在《黑客分析》一文中,一位渗透测试人员介绍了他如何使用当前事件、社交网站上的公共信息和在旧货店购买的信息Cisco公司的员工衬衫非法进入企业的办公楼。他穿着这件衬衫可以证明他是思科员工,提供技术支持访问。进入大楼后,他试图安装几个恶意软件U盘并侵入企业网络,但这些设施都在企业员工的视线之内。
然而,网络犯罪分子不需要在现场发动社会工程攻击。他们可以通过电子邮件、电话或社交媒体进行网络攻击。这些网络攻击的共同点是,他们利用人性的弱点为自己谋利,如贪婪、恐惧、好奇心,甚至帮助他人的愿望。
社会工程示例
社交工程犯罪分子进入现场进行诈骗通常需要数周甚至数月时间的了解,然后才能进入或打电话联系。他们的准备工作可能包括获取企业电话簿或组织结构图,以及在LinkedIn或Facebook在社交网站上研究一些企业员工的工作和习惯。
(1)打电话
社会工程罪犯可以打电话给企业员工,假装是同事或外部权威人员(如执法人员或审计人员)。
(2)进入办公室
“你能帮我开门吗?我没有钥匙/门禁卡。”提出这个问题的人可能看起来不可疑,但这是犯罪分子使用的一种非常常见的策略。
(3)网络攻击
社交网站使社交工程攻击更容易进行。今天的网络攻击者可以访问LinkedIn等待网站,很容易找到一家公司的所有用户,并收集大量可用于进一步网络攻击的详细信息。
社会工程犯罪分子还利用紧急情况、假期、流行文化等手段来吸引受害者。人们可能会看到犯罪分子如何使用著名购物公司的名字进行欺诈。诈骗者经常使用假慈善机构来实现他们的犯罪目标。
社会工程犯罪分子还将定制网络钓鱼攻击,诱使他们点击带有恶意软件的附件,以满足用户的兴趣(如最喜欢的艺术家、演员、音乐、政治和慈善)。
一些著名的社会工程攻击事件
了解社会工程策略的一个好方法是了解过去发生的社会工程攻击。以下三种社会工程手段(独立于技术平台)在很大程度上成功地打击了欺诈者。
·提供诱惑。骗子成功的最简单方法就是利用人们的贪婪。这是尼日利亚典型419骗局的基础。在这个骗局中,骗子试图说服受害者帮助他们“不义之财”转移到安全银行,并提供部分资金作为条件。人们收到了“尼日利亚王子”这样的电子邮件可能是个笑话,但它们仍然是许多人被欺骗的有效社会工程手段:2007年,密歇根州一个县的财务总监向骗子支付了120万美元的公共资金,以满足他们实现巨额财富的愿望。另一个常见的诱惑是提供更好的工作前景,这显然是许多人关心的问题。例如,在2011年尴尬的数字泄露中,安全服务提供商RSA该公司的两名员工打开了附加在网络钓鱼电子邮件中的恶意软件文件,该文件被称为“2011年招聘计划.xls”。
·假装是别人。最简单、最成功的社会工程攻击手段之一就是假装是受害者。Kevin Mitnick在一个早期的骗局中,他打电话给一家为操作系统开发服务器的公司,他声称自己是该公司的主要开发人员之一,并表示他现在无法登录并要求解决这个问题,因此他获得了一个新的登录名称和密码。人们可能认为这种情况会有所改善,但他们错了。例如,2016年,一名黑客通过美国司法部的电子邮件地址冒充内部员工,帮助台湾交出DoJ内联网的访问令牌,他当时表示只有一周的工作,不知道事情是怎么工作的,从而得到信任。
许多公司确实为这种无耻的冒充设置了一些障碍,但它们通常很容易避免。例如,2005年,当惠普聘请调查人员查明哪些惠普董事会成员向媒体泄露信息时,他们可以获得这些人社会保障号码的最后四位数字——这是因为通信制造商AT&T在提交详细的通话记录之前,公司技术支持部门使用社保号码作为身份证明。
·假装是权威人士。大多数人尊重权威人物或领导人。网络犯罪分子可以利用员工对企业内部流程的不同理解,让受害者相信他有这样的权力。例如,在2015年,Ubiquit Networks该公司的财务员工向冒充该公司高管的骗子汇款了数百万美元,这可能在他们的电子邮件地址中使用类似的资金URL。在调查中,调查人员经常伪装成电话公司的其他员工,以找到访问语音邮件账户的方法。
有时候,人们加考虑地遵守权威的命令或要求。例如,2016年,美国总统候选人希拉里·克林顿竞选负责人John Podesta电子邮件被间谍入侵。当时,他发送了一封伪装成谷歌便条的在线钓鱼电子邮件,要求他重置密码。他的登录凭证被他认为可以保护他的账户泄露。
2021社会工程攻击攻击事件
根据ISACA最近发布了一份名为《2021年安全状况第二部分》的调查报告(这是对近3700名全球网络安全专业人,社会工程攻击是企业遭受网络攻击的主要问题,PhishLabs公司发布的季度威胁趋势和情报报告显示,与2020年同期相比,今年上半年网络钓鱼攻击数量有所下降。Verizon公司2021年数据泄露调查报告的调查结果强调,社会工程是最常见的数据泄露攻击方法,85%的网络攻击在一定程度上利用了网络安全的人为因素。Gemini该公司最近的研究也显示了网络犯罪分子如何绕过社会工程3DSecure等特定安全协议进行支付欺诈。
社会工程攻击发展趋势
社会工程的攻击趋势通常是周期性的。Gartner公司研究副总裁Nader Henein一个重要的趋势是,社会工程已经成为大型网络攻击工具箱的标准要素,以专业和可重复的方式部署企业和个人。“无论是网络钓鱼还是网络钓鱼deepfakes说服或胁迫目标,这些功能中的大多数是通过服务水平协议和支持来交付的。因此,在大多数企业的安全培训中,越来越需要和提供社会工程意识和后续测试。”
Egress公司威胁情报副总裁Jack Chapman指出,最近“遗漏消息”社交工程攻击呈上升趋势。他说,“这涉及欺骗高级员工的账户;网络攻击者向员工发送电子邮件,要求他们发送已完成的工作,如报告。”
为了施加额外的压力,社会工程攻击者会提到,该报告最初是在前一封电子邮件中要求的,因此收件人相信他们错过了一封电子邮件,没有完成重要任务。Chapman说,“这是一种非常有效的紧急响应方式,尤其是在远程工作环境中。此外,社交工程攻击者越来越多地诱惑或鼓励收件人单击其恶意链接。”
他说,“黑客发人惊讶的趋势是黑客发送生日贺卡。社会工程攻击者可以使用它OSINT查看受害者的生日,并发送链接查看生日电子贺卡,这实际上是一个在线钓鱼链接。通常,收件人不会怀疑在线钓鱼攻击,因为他们认为他们可能会在生日那天收到这样的电子贺卡。”
Neosec公司首席信息安全官Renan Feldman据说今天的社会工程攻击大多是暴露的API。他说,“大多数攻击者都在寻求访问API,由于业务在当今世界的应用平台上运行,而不是访问设备或网络。此外,破坏API它比渗透企业网络并横向移动以接管大部分或全部关键资产要容易得多。因此,在未来几年,我们可能会看到API勒索事件会增加。随着越来越多的业务数据转移到API,企业正在加强他们的反勒索软件控制。”
预防社会工程攻击
安全意识培训是预防社会工程攻击的第一种方法。人们应该意识到社会工程的存在,熟悉最常用的策略。
幸运的是,讲故事有助于提供社会工程的安全意识。故事比解释技术缺陷更容易理解和有趣。然而,社会工程不仅是普通员工,也是社会工程攻击者的主要目标。
防御社会工程攻击的五项技能
安全行业网络CSO撰稿人Dan Lohrmann为此提供以下建议:
(1)安全意识培训
为了应对一般的网络钓鱼威胁和有针对性的网络威胁,企业将确保其拥有全面的安全意识培训计划。请记住,这不仅仅是点击链接。
(2)向关键员工详细介绍最新的在线欺诈技术“路演”
关键员工包括高级管理人员,但不要忘记有权进行电汇或其他金融交易的人员。需要记住的是,许多涉及欺诈的事件发生在低级员工身上,他们可能相信企业高管要求他们采取紧急行动,通常绕过正常程序或控制。
(3)审查财务转移等重要交易的现有流程、程序和职责分离
如有必要,请添加额外的控制器。请记住,责任分离和其他保护措施在某些情况下可能会受到内部威胁的影响,因此考虑到威胁的增加,可能需要重新分析风险审查。
(4)考虑与“带外”有关交易或紧急执行请求的新政策
首席执行官Gmail账户的电子邮件应该会自动警告员工,但他们需要了解网络攻击者正在使用的最新技术。企业需要采用大家都能理解的授权应急程序。
(5)审查、改进和测试事件管理和在线钓鱼报告系统
定期与管理层和关键人员进行桌面演练。测试控制和逆向工程的潜在脆弱领域。
阻止社交工程攻击的安全工具
许多供应商提供帮助社会工程实践的工具或服务,或通过海报和时事沟通建立员工意识。
同样值得一试的是social-engineer.org它可以免费下载社交工程工具包。该工具包有助于通过社交工程的自动渗透测试,包括鱼叉网络钓鱼攻击基于看似合法的网站创建USB驱动攻击等。另一个很好的资源是社会工程框架。
目前,社会工程攻击的最佳防御是对用户进行安全教育和技术防御,以便更好地检测和响应攻击。检测电子邮件或电话中的关键字可以用来消除潜在攻击,但即使是这些技术也可能无法完全阻止社会工程攻击。