當前位置：安全 → 行業動態 → 正文

網絡犯罪分子是如何利用人們的行為和心理的

責任編輯：cres 作者：Josh Fruhlinger |來源：企業網D1Net 2021-09-23 10:05:48 原創文章企業網D1Net

社交工程的定義

社交工程是黑客利用人類心理而不是技術來訪問系統、數據或建筑物的技術。例如，采用社交工程的犯罪分子可能不會去查找軟件漏洞，而是會打電話給攻擊對象并偽裝成IT支持人員，試圖誘騙他們的密碼。

著名黑客Kevin Mitnick在上世紀90年代推廣了“社交工程”這一術語，盡管這種想法和技術早在有騙子的時候就存在了。

社交工程采用的技術

社交工程已被證明是社交工程犯罪分子“進入”企業的一種非常成功的方式。一旦犯罪分子獲得受害者的帳號和密碼，就可以登錄并窺探敏感數據。而使用門禁卡或密碼進入設施時，社交工程犯罪分子可以訪問數據、竊取資產甚至傷害他人。

在《黑客剖析》一文中，一位滲透測試人員介紹了他如何使用當前事件、社交網站上的公共信息以及在舊貨店購買的Cisco公司的員工襯衫非法進入一家企業的辦公樓。他穿著這件襯衫可以證明他是提供技術支持訪問的思科員工。在進入大樓之后，他設法安裝了幾個裝有惡意軟件的U盤并侵入了企業的網絡，所有這些設施卻都在企業員工的視線之內。

不過，網絡犯罪分子不需要這樣到現場發動社交工程攻擊。他們可以通過電子郵件、電話或社交媒體進行網絡攻擊。而這些網絡攻擊的共同點是，它們利用人性的弱點為自己謀利，例如人們的貪婪、恐懼、好奇心，甚至幫助他人的愿望。

社交工程的示例

社交工程犯罪分子進入現場進行詐騙通常需要數周甚至數月時間的了解，然后才能進入或打電話聯系。他們的準備工作可能包括獲取企業電話簿或組織結構圖，以及在LinkedIn或Facebook等社交網站上研究一些企業員工的工作和習性。

(1)打電話

社交工程犯罪分子可能會向企業員工打電話，并假裝是同事或外部權威機構人員(例如執法人員或審計人員)。

(2)進入辦公室

“你能幫我開門嗎?我沒有帶鑰匙/門禁卡。”提出這個問題的人可能看起來并不可疑，但這是犯罪分子使用的一種非常常見的策略。

(3)網絡攻擊

社交網站使社交工程攻擊更容易進行。如今的網絡攻擊者可以訪問LinkedIn等網站，可容易找到在一家公司的所有用戶，并收集大量可用于進一步網絡攻擊的詳細信息。

社交工程犯罪分子還利用突發事件、假期、流行文化和其他手段來引誘受害者。人們可能會看到犯罪分子如何利用知名購物公司的名稱進行詐騙。詐騙者經常利用假慈善機構實現他們的犯罪目標。

社交工程犯罪分子還將定制網絡釣魚攻擊，以針對用戶的興趣(例如，最喜歡的藝術家、演員、音樂、政治、慈善事業)誘使他們點擊帶有惡意軟件的附件。

一些著名的社交工程攻擊事件

人們了解應該注意哪些社交工程策略的一個好方法是了解過去發生的社交工程攻擊事件。而人們關注以下三種社交工程手段(獨立于技術平臺)已經在很大程度上成功地打擊了詐騙者。

·提供誘惑。騙子獲得成功的最簡單方法是利用人們的貪婪。這是典型的尼日利亞419騙局的基礎。在這種騙局中，騙子試圖說服受害者幫助他們將其“不義之財”轉移到安全的銀行，并提供一部分資金作為條件。而人們收到“尼日利亞王子”這樣的電子郵件可能是一個笑話，但它們仍然是很多人上當受騙的有效社交工程手段：在2007年，密歇根州一個縣的財務主管向騙子支付了120萬美元的公共資金，以滿足能夠兌現巨額財富的愿望。另一個常見的誘惑是提供更好的工作前景，這顯然是很多人關心的事情。例如在2011年的一次令人尷尬的數字泄露事件中，安全服務商RSA公司的兩名員工打開了附加在網絡釣魚電子郵件中的惡意軟件的文件，其文件名為“2011年招聘計劃.xls”。

·冒充他人身份。最簡單的也是最成功的社交工程攻擊手段之一就是假裝成為受害者。在黑客Kevin Mitnick的一個早期騙局中，他致電一家為操作系統開發服務器的公司，他聲稱是該公司的主要開發人員之一，并表示現在無法登錄，要求解決這個問題，于是他獲得了一個新的登錄名和密碼。人們可能認為這樣的情況會有所改善，但是他們想錯了。例如在2016年，一名黑客通過美國司法部的電子郵件地址來冒充內部員工，使幫助臺交出DoJ內聯網的訪問令牌，他當時表明才入職一周，不知道事情是如何運作的，從而得到信任。

許多企業確實為這種無恥冒充的行為設置了一些障礙，但它們通常可以很容易規避。例如在2005年，當惠普公司聘請調查員查明哪些惠普董事會成員向媒體泄露信息時，他們可以獲取這些人的社保號碼的后四位數字——這是因為通信廠商AT&T公司的技術支持部門在提交詳細的通話記錄之前采用社保號碼作為身份證明。

·假裝權威人士。大多數人都尊重權威人物或領導。網絡犯罪分子可以利用員工對企業內部流程的不同程度的了解，讓受害人相信他具有這樣的權力。例如在2015年，Ubiquit Networks公司財務員工向冒充該公司高管的一名騙子匯去了數百萬美元的資金，這可能在他們的電子郵件地址中使用了類似的URL。而在調查中，調查人員經常偽裝成電話公司的其他員工找到訪問語音郵件帳戶的方法。

有時，人們不加考慮就遵從了權威人士的命令或要求。例如在2016年，美國總統候選人希拉里·克林頓的競選負責人John Podesta的電子郵箱被間諜入侵，當時向他發送了一封偽裝成谷歌便條的網絡釣魚電子郵件，要求他重置密碼。通過采取他認為可以保護他的帳戶的行動，泄露了他的登錄憑據。

2021年發生的社交工程攻擊事件

根據ISACA最近發布的一份名為《2021年安全狀況，第二部分》的調查報告(這是一項對近3700名全球網絡安全專業人士的調查)，社交工程攻擊是企業遭受網絡攻擊的主要問題，而PhishLabs公司發布的季度威脅趨勢和情報報告表明，在今年上半年的網絡釣魚攻擊數量與2020年同期相比有所下降。同樣，Verizon公司2021年數據泄露調查報告的調查結果強調社交工程是最常見的一種數據泄露攻擊方法，85%的網絡攻擊都是在某種程度上利用了網絡安全的人為因素。Gemini公司最近的研究也表明了網絡犯罪分子如何使用社交工程繞過3DSecure等特定安全協議進行支付欺詐。

社交工程攻擊發展趨勢

社交工程攻擊趨勢通常是周期性的。Gartner公司研究副總裁Nader Henein表示，一個重要的趨勢是社交工程已經成為大型網絡攻擊工具箱的標準元素，以專業和可重復的方式與其他工具結合針對企業和個人進行部署。他說，“無論是網絡釣魚還是使用deepfakes來說服或脅迫目標，這些功能中的大部分都是通過服務級別協議和支持結合即服務交付的。因此，在大多數企業的安全培訓中，越來越需要并提供社交工程的意識和后續測試。”

Egress公司威脅情報副總裁Jack Chapman指出，最近“遺漏消息”社交工程攻擊呈上升趨勢。他說，“這涉及欺騙高級員工的賬戶;網絡攻擊者會向員工發送一封電子郵件，要求他們發送一份已完成的工作，例如一份報告。”

為了施加額外的壓力，社交工程攻擊者會提到該報告最初是在前一封電子郵件中要求的，從而使收件人相信他們錯過了一封電子郵件，并且沒有完成重要任務。Chapman說，“這是一種非常有效的緊急響應方式，尤其是在遠程工作環境中。此外，社交工程攻擊者越來越多地誘惑或鼓勵收件人單擊其惡意鏈接。”

他說，“我們看到的一個令人驚訝的趨勢是黑客發送生日賀卡。社交工程攻擊者可以使用OSINT來查出受害者的生日，并發送一個鏈接來查看生日電子賀卡，這實際上是一個網絡釣魚鏈接。通常情況，收件人不會懷疑網絡釣魚攻擊，因為他們認為可能會在生日當天收到這樣的電子賀卡。”

Neosec公司首席信息安全官Renan Feldman表示，當今大多數社交工程攻擊都利用暴露的API。他說，“大多數攻擊者都在尋求訪問這些API，而不是訪問設備或網絡，因為在當今世界，業務運行在應用程序平臺上。此外，破壞API比滲透企業網絡并橫向移動以接管其中的大部分或全部關鍵資產要容易得多。因此在接下來的幾年里，我們很可能會看到通過API進行的勒索事件會增加。隨著越來越多的業務數據轉移到API，企業正在加強他們的反勒索軟件控制。”

預防社交工程攻擊

安全意識培訓是防止社交工程攻擊的第一方法。人們應該意識到社交工程的存在，并熟悉最常用的策略。

幸運的是，講故事有助于提供社交工程的安全意識。故事比技術缺陷的解釋更容易理解也更有趣。但是，需要了解社交工程不僅僅是普通員工，企業高管是社交工程攻擊者的主要目標。

防御社交工程攻擊的5個技巧

安全行業網絡CSO撰稿人Dan Lohrmann為此提供以下建議：

(1)安全意識方面的培訓

企業確保其擁有全面的安全意識培訓計劃，該計劃會定期更新，以應對一般網絡釣魚威脅和具有針對性的網絡威脅。需要記住的是，這不僅僅是點擊鏈接。

(2)向關鍵員工提供有關最新在線欺詐技術的詳細簡報“路演”

關鍵員工包括高級管理人員，但不要忘記有權進行電匯或其他金融交易的人員。需要記住的是，許多涉及欺詐的事件發生在低級別員工身上，他們可能會相信企業高管要求他們采取緊急行動，通常會繞過正常程序或控制。

(3)審查財務轉移和其他重要交易的現有流程、程序和職責分離

如果需要的話添加額外的控件。需要記住的是，職責分離和其他保護措施可能會在某些時候受到內部威脅的影響，因此考慮到威脅的增加，可能需要重新分析風險審查。

(4)考慮與“帶外”交易或緊急執行請求相關的新政策