深入解读社会工程攻击

导语：如何防止社会工程攻击？假设你现在身处这样一个情景中：一个端着热咖啡托盘的人站在门前，因为要尽力维持平衡，她似乎无法将她的门卡放在读卡器附近，那么你该不该主动让她进来呢？这确实是一件值得深思的事情。

假设你现在身处这样一个情景中：一个端着热咖啡托盘的人站在门前，因为要尽力维持平衡，她似乎无法将她的门卡放在读卡器附近，那么你该不该主动让她进来呢？这确实是一件值得深思的事情。从礼貌上来说，帮助他人是一个非常绅士的行为，但是从安全上来说，开门，即打开了限制。你该让她进来吗？如果她真的只是无法腾出手来取出她的门卡，那么答案显然是肯定的。但是，如果还有其他事情发生怎么办？

当某人扮演着一个女人的角色——她的面容和表情让你心生怜爱，并且来寻求你的帮助，你深思熟虑的姿态就会突然变得危险起来。现在，你已经让她更容易进入她本身无法访问或无权访问的受限制设施，而她，会让你变成社会工程的受害者。

社会工程是IT专业人士和网络安全专家经常会提到的一个专业术语，主要在谈论网络钓鱼、诈骗甚至某些恶意软件（如勒索软件）等网络威胁时使用，但实际上它的定义更为广泛，所谓社会工程，指的是操纵或利用人的品质来服务于攻击者目的的一种行为。

我们必须保护自己免受社会工程这种策略的侵害，就像我们保护设备免受恶意软件侵害一样。通过尽职调查，我们可以让社会工程师难以获得他们想要的东西。

自我弱点剖析

在我们讨论“如何解决”之前，我们列出了社会工程师可以利用的人类情感因素和心理因素（包括潜在目标的劣势），这也包括我们已经在上面提到过的情感——“同情”。还有一些易受攻击的特征如下：

疏忽

我们大多数人都会不小心点击了一两个链接，或者打开了可疑的电子邮件附件。而我们处理这种情况速度的快慢，将会决定其造成损害的程度，严重的，甚至会改变我们的生活。

利用疏忽的攻击示例包括：

· 注册近似域名

· “同形异义字”钓鱼攻击

· 黑帽SEO / SEO中毒

· 点击劫持

· 跟车或捎带

· 窃听

好奇心

你偶然收到了一封据称是熟人的电子邮件，从主题行看，这是一封个人电子邮件，在邮件中，他说明了附件中包含发件人最近前往巴哈马群岛的照片，附件照片采用的压缩文件ZIP格式。

如果此时你开始犹豫是否应该打开附件，那么你可能容易受到基于好奇心的社会工程攻击。我们已经看到很多用户被这种方法欺骗了。

基于好奇心的攻击示例包括：

· 社交网站中的恶意软件活动（“热门视频”Facebook诈骗，名人丑闻）

· 其他欺骗你的独家内容（与事故或灾难相关的视频）

· “谁访问了你的个人资料”社交媒体诈骗

· USB攻击

· 传统寄信攻击

· 新闻捆绑

恐惧

根据Charles E. Lively，Jr.在《基于心理的社会工程》一文中所说，利用恐惧的攻击通常是最具侵略性的社会工程形式，因为它会使目标在高压下感到焦虑，受到刺激和惊吓。

此类攻击使参与者愿意做任何他们被要求做的事情，例如向威胁者汇款、转让知识产权或提供其他信息，威胁者可能冒充高级管理人员或假装持有威胁性文件。这种性质的行为通常会夸大请求的重要性并规定截止日期——这样做是希望在被受害者发现之前，得到他们要求的东西。

基于恐惧的攻击示例包括：

· 企业电子邮件泄密（BEC）/首席执行官（CEO）或首席财务官（CFO）欺诈

· 勒索/敲诈（性勒索，勒索软件）

· 陌生电访诈骗

· 流氓软件（假AV）

· 语音网络钓鱼

· 假装是软件补丁的恶意软件活动

欲望

欲望一直都是一种强大的心理动机，可以影响一个人的决策。布莱斯•帕斯卡说得好：“心知道方向，不需要理由。（The heart has its reasons which the mind knows nothing of. ）”寻找生活中的爱欲、追求更多财富、或者想要免费午餐的人们可能会受到这种类型的攻击。

基于欲望的攻击示例包括：

· 交友欺诈 /浪漫欺诈（包括LGBTQ社区的成员）

· 网络交友钓鱼

· 网络钓鱼活动

· 用金钱或小玩意诱骗你的诈骗（例如419和“尼日利亚王子”诈骗）

· 与彩票和赌博相关的骗局

· 报酬欺诈

怀疑

怀疑具有不确定性。虽然怀疑有时可以阻止我们去做一些可能会后悔的事情，但社会工程师也可以利用怀疑来对我们进行攻击，并且打我们个措手不及。因为怀疑会让我们忽视潜在的某样东西、某个人或某个想法。也就是说，我们最终可能会怀疑真相，而去更多的信任社会工程师。

一位互联网用户在她的分享中提到，有两名假冒的AT＆T员工在收到她的帐户变更短信报告后，通过电话与她取得了联系，第一个声称是AT＆T员工的人显然是骗子，当她意识到这一点时，她挂断了电话，但是第二个打电话的人很冷静也很友善，这样两个一对比，她可能会因为对第一个人的怀疑而相信第二个人，这样她就成功被骗了。

基于怀疑的攻击示例包括：

· Apple iTunes诈骗

· 付款诈骗

· 付款转移诈骗

· 某些形式的社交黑客，特别是在社交媒体中

移情和同情

当他人收到灾难侵袭时，人们会自然而然想要去提供援助或救济。我们大多数人不能亲自去受灾地区进行志愿服务，而上网更加容易实现援助——将信用卡详细信息输入到接收捐款的网站，然后点击“Enter”即可。当然，并非所有这些网站都是真实的。社会工程师利用与移情或同情相关的情绪，从而将资金从实际需要的人身上转移到自己的口袋里。

基于同情的骗局示例包括：

· 假孤儿院（在柬埔寨盛行）

· 灾难欺诈，相关杂志确定了这类欺诈的五个主要类别：慈善募捐，承包商和供应商欺诈，伪造欺诈，价格欺诈和财产保险欺诈

· 癌症欺诈

· 利用Indiegogo，GoFundMe或Kickstarter等众筹网站的诈骗

无知或天真

这可能是人们最常利用的特征，毫无疑问，这也是我们说网络安全意识和网络安全教育不仅有用而且必不可少的原因之一。可以说，我们在这篇文章中提到的所有社会工程实例都依赖于这两个因素。

虽然无知经常被用来描述一些粗鲁或有偏见的人，但在这种情况下，它意味着缺乏知识或意识的人——特别是这些形式的犯罪存在于互联网上的事实。“天真”还反映了某些用户对某种技术或服务的运作缺乏一定的了解。

另一方面，社会工程师也可以通过装聋作哑，利用对方的无知，充分发挥自己的优势，以此得到他们想要的信息或好处。这是非常有效的，特别是当社会工程师满嘴奉承时，对方很容易落入陷阱。

基于无知的攻击示例包括：

· Venmo（一种小额支付软件）诈骗

· 亚马逊礼品卡诈骗

· 加密货币诈骗

疏忽或自满

当有人走近我们的地盘时，理论上我们应该根据相关条例去验明那个人的身份，只有当身份合法时，我们才能进允许他通过。这听起来理所当然，而且好像很容易实现的样子，但是有时我们会因为疏忽，或者自满地认为“没有问题”，而陷入社会工程师的陷阱。社会工程师也深知，我们中一些人会认为确定身份这个过程会妨碍他人通过，所以忽略了验证的这一过程。

基于自满的攻击示例包括：

· 物理社会工程尝试，例如获得对受限制地点的物理访问和垃圾箱潜水

· 假意受到委托

· 分流盗窃

值得注意的是，社会工程活动（如BEC和网络钓鱼）背后的威胁行为往往很复杂，常常针对了两种或两种以上的情绪或心理特征，面向的可能是一个人，也可能是一个群体。

无论你面临的问题是线上还是线下，重要的是要保持警惕，特别是当我们的能力还不足以马上分辨出社会工程活动时。

打击社会工程

思考应对社会工程的方法可能是一个挑战，但许多人可能没有意识到，使用基本的网络安全卫士也足以阻挡社会工程。在这里，我们给你提供了一些预防措施，当它们适用于你的情况时，你可以自由地使用它们。

电子邮件

· 如果收到了携带可疑链接或附件的电子邮件，请与发送者联系并核实（亲自见面或通过其他通信手段联系）。如果你收到一封电子邮件报告了你的银行账户发生了什么时，你可以亲自去银行，或者使用银行官方的服务进行核实。

· 收到老板的要求，尽快给他汇款？不要着急。首先你要做的是给领导打电话，核实他是否提出了这个要求，并且确认你是在和你的老板本人谈话，而不和冒充他的人在交流。

电话（固定电话或智能电话）

· 当你从你的服务提供商接收潜在的诈骗短信时，直接联系服务商，而不是通过文本回复询问是否有问题。

· 不要接不在你联系人名单或者是你不认识的电话，特别是如果他们表现出跟你很熟的样子。（骗子喜欢用与你相同的电话区域号，来让你相信他是你认识的人。）

· 避免直接或间接地向任何人透露信息。提醒自己，社会工程师正在思考怎样让你自己主动提供信息。

· 应用DTA（不信任任何人）或零信任规则。这意味着你会用怀疑的目光看待接听的每一个电话，并提出一些验证对方身份的问题（必要时会主动提供虚假信息）。

· 如果你已经感觉事情有些不对劲，那么挂断电话，在网上查找你刚刚收到的电话的信息，因为某个地方的人可能已经分享过相关经历。

亲身接触

· 当你遇到不认识的人触碰你时，你可要小心。毕竟接触是发生与朋友和家人之间的，而不是与你不知道或几乎不认识的人。

· 如果你注意到有人与你的怪癖或倾向一致时，要怀疑他们的动机。

· 在办公楼的公共区域内，不要随口说出姓名、部门名称和其他信息。要时刻提醒自己，在在公共场合是很容易被窃听信息的。如果你喜欢与其他公司的员工在一起玩耍，那么，尽可能地含糊其辞。在酒吧、俱乐部或餐馆这些公共场合里，也要保持谨慎。

· 经常检查身份证明文件或其他相关文件，以确认他人的身份和目的。

社交媒体

· 避开要求你使用社交媒体帐户登录的网站，特别是填写调查或者登陆游戏。许多网络钓鱼就出现在这些形式中。

· 如果你经常泡在社交媒体上（例如Twitter），遇到分享出来的链接一定要三思而行，因为你不知道这些链接是否把你带到你想要的目的地，更重要的是，我们甚至不确定分享那些链接的是真实的人，还是为了实现某种目的的程序。

· 如果你在社交网络收件箱中收到一个私人信息，内附一个工作邀请的链接，你最好先访问该公司的官方网站，查找核对是否有职位空缺。如果您点击了链接，网站要求您填写详细信息，请立即关闭它。

一个有趣的总结

当涉及到社会工程时，没有一件事是小到能忽视的，毕竟，在安全方面犯错很不应该。

那么，如果有人端着一盘热咖啡，拿不到她的出入证，你该怎么办？不要为她开门。相对地，你可以帮助她端起托盘，让她自己拿出并使用她的出入证。如果你仍然认为这是一个坏主意，那么让她耐心等待，当你核实其安全性后再来帮助她。当然，前提条件是，当遇到社会工程师的攻击时，安全部门、人资部门和前台都已经被训练出能做出正确的反应。

祝你好运！