社会工程学的危害 - 如何避免成为其受害者。 第1章。4

社会工程学的危害 - 如何避免成为其受害者。 第1章。

LookingGlass Cyber​​和ISACA报告显示，社会工程学已成为2022年针对个人和机构的网络攻击的主要类型之一。

此外，IBM 表示，2022 年数据泄露造成的损失达 410 万美元。 普通用户和机构应如何保护自己？ 好的杀毒软件可以保护您免受恶意活动的侵害，但却无法保护您免遭社会工程的毒手。

在本文，我们将告诉您社会工程学常用手段以及如何避免成为其受害者。

什么是社会工程学？

诈骗者不再依赖纯粹的技术手段，而是转向“社交”方法——利用心理操纵，诱使您泄露机密信息，即使这会危及您的安全。

社会工程学常见方法有网络钓鱼（及其变种）、下饵、假托和使用假安全软件。

网络钓鱼

欺诈者可能冒充合法机构或企业的代表，以便从用户那里“获取”必要信息。网络钓鱼攻击通过电子邮件进行。攻击者常利用用户的恐惧来诱使其武断行动。

以下是网络钓鱼电子邮件的示例：

攻击者冒充银行代表，要求用户更新账户信息。邮件真实度很高，看似是从官方邮箱发送的。冻结银行账户是个大事，所以许多用户都会打开这样的电子邮件并武断地采取行动。邮件中包含一个附件，如果打开该附件，您的电脑很可能会被感染。

网络钓鱼电子邮件通常要求用户手动填写信息，虽然这并非必须。此类电子邮件可能包含一个链接用于安装病毒。这通常是为了进行加密劫持——一种黑客利用电脑算力来挖掘加密货币的攻击方式。有时，邮件中可能包含附件，打开这些附件会感染电脑并使攻击者能够访问用户的个人文件。

网络钓鱼的一个常见分类是鱼叉式网络钓鱼，指攻击者冒充用户信任的熟人，例如朋友或同事。这类型的社会工程学针对特定的人，并通常用于工业间谍活动。例如，攻击者可以冒充老板向员工发送电子邮件，要求他们发送机密文件。

下饵

下饵是一种与网络钓鱼非常相似的技术。攻击者不仅仅假装自己是权威人士，还会引诱受害者分享他们的个人信息以换取诱人的东西。

以下是下饵消息的示例：

在这条消息中，网络犯罪分子冒充谷歌员工，承诺用户可免费获得一部 iPhone，以感谢他们对公司的忠诚。与前一个案例一样，攻击者故意给用户制造一种紧迫感。许多人梦想拥有一部 iPhone，因此这封电子邮件起到了诱饵的作用，诱使人们点击链接。

另一种常见的下饵攻击是将感染病毒的闪存驱动器留在某处，希望有人找到它并将其插入电脑。USB 驱动器充当诱饵：人们很好奇，想知道里面有什么。当驱动器连接电脑时，恶意软件就会启动，使电脑更易受到入侵者的攻击。

语音钓鱼

语音钓鱼是一个由两个词组成的术语：voice（语音） + phishing（网络钓鱼），即 语音网络钓鱼。 大约二十年前，发生过这样一次语音网络钓鱼攻击：攻击者给受害者打电话，伪装成后者从未见过的权威人物。如今，攻击越来越多地使用人工智能来模仿受害者家庭成员和近亲的声音。

这是推特上一位用户分享的故事。他讲述了攻击者如何对他的祖父进行网络钓鱼攻击。

适用语音钓鱼时，攻击者可以不发电子邮件，而是致电受害者或留语音消息。大多数人已经习惯于垃圾邮件的存在了，但他们在语音交流时往往不那么警惕。例如，攻击者可以给受害者打电话，利用人工智能模仿在国外的家庭成员的声音，要求将 5000 美元转入指定银行账户。此类高科技技术仍然很陌生，尤其是对于老年人来说，正因如此，普通用户更易上当。

短信诈骗

短信诈骗是通过短信进行的网络钓鱼。如果诈骗者知道您的电话号码，他们可能会尝试使用它来窃取您的个人信息。

以下是短信诈骗的示例：

在短信网络钓鱼中，犯罪分子使用的伎俩也是相同的。他们可能冒充官员或合法公司并承诺向您赠送礼物。在上面的例子中，攻击者冒充沃尔玛代表，并表示他们想给受害者一份礼物。他们保证拿到礼物很容易，只需要填写一张表格。对待此类消息一定要小心谨慎，这才能帮助您避免损失金钱和泄露机密数据。

流氓安全软件

流氓安全软件会伪装成合法软件（通常是杀毒软件），并用虚假的安全或更新警告轰炸用户。 用户经常在不知情的情况下通过网络钓鱼电子邮件或恶意广告将它们安装到电脑上。

流氓安全软件发出的警告可能会伴随弹出窗口、闪烁或其他旨在吸引用户注意力并营造紧迫感的视觉和声音效果。

以下是流氓安全软件的图示：

系统会提示用户安装所谓可以解决问题的软件。但是，安装这些软件只会造成额外的损害，例如，纵使攻击者从您的电脑窃取个人文件。这就是为什么您永远不应该打开可疑电子邮件的链接。

假托

假托是指攻击者冒充另一个人，通常是冒充权威人物。这样他就可以未经授权获取您的信息。例如，攻击者可能冒充进行调查的民意调查员，或者冒充想要了解有关您产品更多信息的客户。

假托不仅会损害普通用户，也会危及企业。 这种技术利用了人类想要做有用的人以及遵守当局规定的天性。因此，个人和机构必须了解这些手段并采取适当措施来加以防范。

您成为了社会工程学的受害者。有何后果？

如果您成为社会工程学的受害者，您可能会面临毁灭性的后果。示例如下：

盗窃钱财

欺诈者设法利用您的信任并从您那里获取机密信息，然后通过各种方式将其变现。 如果他们获取了您的银行卡信息和/或电话号码，便可以使用您的卡购物。他们还可能入侵您的社交媒体帐户向您的朋友借钱。这一切都取决于攻击者的创造力。 而如果机构的财务信息被泄露，损失金额可能高达数百万甚至数亿。

2013-2015年，谷歌和Facebook因社会工程学攻击损失了1亿美元。网络犯罪分子 Evaldas Rimasauskas 及其同伙虚构了一家公司，冒充谷歌和 Facebook 的对手。 他们以公司名义创建银行账户，并向科技巨头的员工发送网络钓鱼电子邮件，向他们收取合法商品和服务的费用。

数字身份盗窃

数字身份盗窃是指诈骗者冒充您本人。例如，攻击者可能会以您的名义贷款，甚至犯罪后诬陷给您。消除这样的后果可能需要数年时间。在业界，这类攻击可能会危及诸多机构并使其发展面临威胁。

2022 年初，Bleeping Computer 报告了一起极其复杂且先进的网络钓鱼攻击。此次攻击的目的是窃取 Office 365账户。攻击者冒充美国劳工部员工，发送的网络钓鱼电子邮件经过精心设计，带有官方部门徽章。收件人被邀请投标政府项目； 邮件附件包含一份 3 页的 PDF 文档，其中包含详细说明和“参与投标”按钮。 点击该按钮会将用户带到网络钓鱼页面，要求他们输入 Office 365账户。

名誉受损

用户设备上通常存储着机密信息，第三方一旦访问这些信息可能会造成巨大危害。 电话窃听和个人照片，包括私密照片泄露案件已变得司空见惯。这样的泄密会让受害沦为笑柄，心理失衡。如果一个机构因社会工程学攻击而成为数据泄露的受害者，它可能会失去客户的信任。

2020年夏天，推特确认失去了对130个账户的控制权，其中包括巴拉克·奥巴马、乔·拜登和坎耶·韦斯特等名人的账户。这引起了公众的强烈抗议，推特声誉也因此受损。

结论

社会工程学攻击缺乏“数字卫生”，利用心理操纵来诱骗人们泄露个人信息。攻击者利用人类的自然情感，例如信任、恐惧和贪婪，进行各种创造性的攻击。未经特殊训练很难抵御这些攻击。 在下一篇文章中，我们将告诉您应该采取哪些措施来保护自己和您所爱的人免受社会工程学的侵害。