在安全領域,人們往往更重視技術層面上的攻擊手段,而往往忽略了社交工程這類心理學層面的威脅。事實上,后者帶來的危害同樣值得關注,而我們也應當從心理學入手抵御此種挑戰。
最重要的是,IT專業人員應當了解社交工程手段如何利用人類情緒來達成自己的邪惡目標。下面讓我們了解四種最為常見且可資利用的情感取向,同時思考如何以此為基礎幫助員工及企業整體抵御未來可能出現的社交攻擊。
恐懼
這是一種負面情緒,據信某人或某物可能造成痛苦或者威脅所引發的危險意識。
作為最為強大的動力之一,恐懼往往成為最常見的社交工程載體。惡意人士利用多種途徑營造恐懼感,包括通過偽造郵件告知我們網上銀行賬戶泄露并要求變更密 碼,或者通知我們已經被銀行保定系統所控制等等。這些詐騙方案要求潛在受害者迅速采取行動以避免或者糾正可能出現的負面后果。
例如,最近有犯罪分子乘報稅之機從國稅局處竊取信息,同時撥打電話威脅稱受害者存在偷稅漏稅嫌疑。一旦對方上鉤,惡意人士會威脅稱執行人員將很快采取行動,對方必須向其指定的賬戶轉款方可解決問題。
服從
傾向于執行來自執法或權威機構給出之命令的情感。
社交工程詐騙分子往往通過電子郵件、即時消息或者電話及語音郵件將自己偽裝成特定個人或者上級機關,例如執法或安保小組。傳統教育讓我們更傾向于服從上級的指令,因此往往會不假思索地按其指示行動。
不過在釣魚活動當中,這類習慣性反應有可能帶來嚴重后果。近日玩具制造巨頭美泰公司就因某財務主管收到由中國網絡詐騙分子偽造的上級指令,而向其轉出300萬美元款項。盡管中國當局最終幫助其追回了資金,但這仍是一個值得我們了解并反思的案例。
貪婪
定義為對事物的強烈占有欲,特別是財富或者權力。
詐騙分子能夠會利用各種獎勵——通常是現金——來引誘受害者執行其設想的行動。這方面最為典型的例子當數“419尼日利亞騙局”,當時有網絡犯罪分子自稱為尼日利亞官員或者政府特工,通過電話或郵件要求受害者做點小事并為此提供一筆報酬——當然,他們的最終目標是獲取受害者的銀行賬戶信息。
俗話說金錢是萬惡之源,而此類網絡釣魚活動確實是將貪婪的負面作用進行了放大。
樂于助人
定義為愿意幫助他人解決問題。
事實上,也有不少網絡犯罪分子在利用人們的下面情感實施詐騙。這些活動經過針對客戶支持或者服務部門,即以求助為名誘使工作人員透露敏感信息。
最近Amazon.com也出現了客戶服務漏洞。黑客們可以單純利用姓名、電子郵件或者錯誤的郵寄地址與在線客服交流,最終通過裝傻充愣來完成賬戶驗證。最終,黑客獲取到購物者的信用卡信息,并利用其賬戶購買貨品。
在企業環境當中,安全保護工作包含諸多方面,但其中內部威脅已經成為最令防御者們頭痛的因素。最近的研究顯示,有43%的數據泄露事故由內部人員造成——而且其中一半屬于偶然情況。
因此除了了解黑客不斷變化的技術手段之外,IT及安全管理者也需要調整政策并指導同事,幫助他們對惡意活動保持警惕。
誠然,培訓普通員工的安全意識絕非易事,但目前已經有多種機構能夠為大家提供相關服務項目。大家應當提醒員工如何識別可疑的郵件與通信內容,并以此作為 良好的安全保障起點。無論您所在企業的規模如何,都應當將社交工程防御作為重要工作加以關注——更重要的是,也別忘記其中涉及的種種心理因素。
京公網安備 11010502049343號