电话响了,一位专业的女声告诉 A 女士她是 B 银行的主管,A女士在B银行开有账户。电话里的人说B银行突然发生数据泄漏,他们怀疑客户账户遭到入侵。
电话里的人告诉A女士尽快使用电邮中联系的方式更改密码。A女士怕丢钱,于是立即照做。10分钟后,短信来了:“您的银行账户被提取100万,交易已完成“。 发生了什么? 打来电话的那个专业女声只是一个熟练的黑客,欺骗A女士以令其提供个人机密信息。有人称其为“人类黑客”,即 针对人性的入侵,而不需要技术工具。当然最标准的叫法是社交工程。 钓鱼是最常见的社交工程技术之一。社交工程师试图冒充真正的网站,然后让目标用户分享机密细节。例如,创建类似于在线银行主页的网页,并欺骗用户输入帐户详细信息。 Baiting 也非常常见。您是否曾在桌面或网吧捡到过一个不知道是谁落下的USB挂件? 如果是,我建议永远不要将这种东西插入您的个人设备里!这可能是攻击者使用的策略或诱饵,里面有恶意软件、病毒甚至键盘记录器可以感染用户的设备。 攻击者故意遗漏USB设备,期望吸引人们的好奇心可能导致将其插入设备并检查内容。这里的USB设备是黑客设置用来捕获用户的诱饵。 熟悉型漏洞,这种攻击非常耗时,更多针对具有极高价值的目标。社交工程师需要拥有成功执行黑客攻击的最佳技能和计划。他们首先让自己熟悉目标群体,这样就没有人会怀疑他们。 你可以理解为当局使用的渗透异议团体的方法。只要渗透者先混到脸熟,周围人就不会再怀疑他们,他们就可以拿到最致命的信息。 Tailgating 也很常见。如果你在一家大公司门口站一会就能明白,保安看起来很严格地审查来访者,但是对于大多数来访者,保安真的不知道他们都是谁。实施这种攻击方法需要攻击者具备高明的表演技能,我们本周正在开始介绍伪装术,您可以详细参考这些知识。 以上只是一些相对常见的攻击方法。社交工程千变万化,攻击者的创意能力绝对不容小视。 所以,您至少应该对自己所处的团队、员工和社区加强培训,并且,密切注意最新披露的创新级的攻击方法介绍(我们一直在跟进这些消息),还有,最佳的方案是聘请专业团队进行高级的渗透测试,这种测试能准确地帮助您的团队和组织找到自身弱点,在真正的攻击发生之前,弥补它! 还是那句话,保护安全是一个相对的过程,就像锁自行车的原理:你的锁只需要比旁边那些自行车锁更坚固。加强攻防练习是非常必要的。 Infosec E-Learning: Remember To Include Social Engineering Techniques. The cyber world calls this -the art of human hacking or otherwise Social Engineering.
0 Comments
Leave a Reply. |