但人為因素仍然是網(wǎng)絡安全中最薄弱的一環(huán)。Verizon在其2023年數(shù)據(jù)泄露調查報告中指出,74%的總數(shù)據(jù)泄露是由人為錯誤造成的。在Verizon分析的16312起以上安全事件中,有5199起導致了數(shù)據(jù)泄露。10%和17%的安全事件和數(shù)據(jù)泄露分別是由社交工程驅動的。
正如人們可以想象的那樣,這個問題更多的是心理上的,而不是技術上的。因此,就像人類一再無法抵擋社交工程師一樣,讓我們再次慢跑一下社交工程的基本構成。
什么是社交工程?
社交工程是利用信任、欺騙和操縱一個人的心理,通過網(wǎng)絡釣魚說服他們點擊惡意鏈接或附件或透露憑據(jù)??梢哉f,社交工程的成功在很大程度上取決于“人類防火墻”的弱點。
KnowBe4的數(shù)據(jù)驅動防御布道者羅杰·格里姆斯向記者解釋說:“自計算機問世以來,社交工程攻擊一直是最成功的攻擊類型,而且這一點似乎不太可能很快改變。社交工程攻擊繞過了大多數(shù)技術防御,適用于所有平臺和所有語言,通常允許攻擊者進入外圍,就像技術防御甚至都不在那里一樣。
社交工程為什么會成功?
格里姆斯認為,社交工程作為其他更具技術性的網(wǎng)絡攻擊的功能、基礎或先兆,普遍被低估了。社交工程涉及50%到90%的攻擊,但沒有一家公司甚至花費5%來對抗它,這種根本的錯位就是黑客和他們的惡意軟件創(chuàng)造如此成功的原因。
社交工程之所以有效,是因為它依賴于人的素質。這包括信任、恐懼、對權威的義務、信息自由法、互惠等等。
Coro的聯(lián)合創(chuàng)始人德羅·利沃爾解釋說,由于社交工程幾乎不需要任何技術技能——幾乎任何人都可以發(fā)起社交工程攻擊。他補充說,“回報相對較大,因為這是一場騙局,賭注可能非常高。”
例如,分散蜘蛛在9月份冒充了他們在LinkedIn上找到的一名員工,并通過給客戶服務臺高管打電話尋找憑據(jù),從而損害了米高梅的利益。
根據(jù)提交給美國證券交易委員會(SEC)的8-K文件,災難性的后果已攀升至1億美元的損失。這還不包括贖金,因為米高梅決定不向威脅參與者支付贖金。
它還擾亂了其幾家酒店數(shù)千個房間、自動取款機、老虎機、餐廳、網(wǎng)站等的運營。這進一步導致了2019年3月之前客戶的個人身份信息的泄露。受影響的數(shù)據(jù)包括姓名、聯(lián)系方式、性別、出生日期和駕照號碼。
然而,社交工程也有消極的方面。作為高度個性化的攻擊,它需要有針對性的情報和高度的定制化。兩者都需要時間和努力,不像‘噴霧和祈禱’的大規(guī)模網(wǎng)絡釣魚攻擊,“利沃爾說。雖然成功率可能不高,但相對高于平均水平的回報是平衡的。
社交工程攻擊背后的動機
經(jīng)濟利益是威脅行為者通過社交工程破壞公司和個人系統(tǒng)的主要和最重要的動機。例如,在2023年9月米高梅之后成為受害者的凱撒支付了要求的3000萬美元贖金的大約一半。
盡管沒有人對此有任何確切的統(tǒng)計數(shù)據(jù),但90%以上的網(wǎng)絡攻擊可能涉及經(jīng)濟誘因。其他任何東西都不能與之相提并論。
雖然每一次網(wǎng)絡攻擊可能都不會像針對凱撒的攻擊那樣有利可圖,但對大多數(shù)網(wǎng)絡罪犯來說,幾千美元的激勵也足夠了。Grimes補充說,社交工程的其他動機可能包括企業(yè)間諜活動、民族國家攻擊、內部攻擊、游戲、資源盜竊、黑客行動主義、業(yè)余愛好和廣告軟件。
社交工程中常用的工具
社交工程可以是高度動態(tài)的,可以不受技術驅動的攻擊的限制。對于威脅行為者來說,高度的人際交往技能可以在很大程度上幫助他們通過社交工程進入他們沒有業(yè)務存在的地方。
“人類的思維和電子郵件釣魚工具包。釣魚工具包允許攻擊者創(chuàng)建釣魚活動,傳播惡意軟件,感染計算機,然后管理整個過程。
盡管如此,威脅行為者依靠某些工具來擴大他們的網(wǎng),并盡可能多地了解他們的潛在受害者。“電子郵件幾乎總是主要的切入點,但攻擊者在攻擊前會利用社交網(wǎng)絡、公司網(wǎng)站、政府注冊、新聞媒體等上的公開數(shù)據(jù)進行大量研究,”利沃爾說。
令人不安的是,整個企業(yè)結構中的人,無論是最高層的高管還是普通員工,都面臨著風險。我們看到每個人都受到了社交工程的攻擊。從‘他們的人力資源部門’向較低級別的員工發(fā)送電子郵件,要求他們?yōu)楣べY目的核實自己的銀行賬戶信息,到CFO被策劃挪用資金。
格里姆斯補充說,任何滲透,無論是在頂部還是底部,都可能導致整個公司的垮臺。
如何最大限度地減少來自社交工程的威脅
考慮到高度主觀的人類思維是抵御社交工程攻擊的第一道防線,專家們一致認為,消除這種攻擊的可能性很小。然而,用戶可以訓練自己來識別普遍攻擊方法的跡象。
用戶必須始終如一地注意那些明顯的跡象,包括恐懼、好奇心、憤怒或任何其他引發(fā)情緒的懇求。制造緊迫感也是一個危險信號。例如,一封電子郵件提示用戶快速續(xù)訂反病毒服務,以免他們成為網(wǎng)絡攻擊的受害者,這是通過社交工程進行的典型網(wǎng)絡釣魚嘗試。
攻擊者還可以利用自然災害、經(jīng)濟絕望、體育、假日、政治事件和醫(yī)療危機等事件,誘使目標對他們不應該采取的行動采取行動。
社交工程的另一個重要方面是主動溝通,無論是電子郵件、電話、短信,還是任何其他需要個人或財務信息的東西。
格萊姆斯強調,大多數(shù)企業(yè)在提供足夠的教育方面做得不夠。使用最好的、深入防御的政策、技術防御和教育相結合的方式來擊敗。在這三種緩解措施中,大多數(shù)公司沒有對員工進行足夠的培訓,讓他們了解如何發(fā)現(xiàn)、緩解和適當?shù)貓蟾嫔缃还こ獭?/div>
大多數(shù)公司每年對員工進行一次培訓,以發(fā)現(xiàn)社交工程。那還差得遠呢。我們建議企業(yè)每月進行培訓,至少每月進行模擬網(wǎng)絡釣魚測試,以幫助對員工進行教育。
利沃爾強調,有必要通過核實他們確實是他們聲稱的人,在那些通信的人之間建立信任。“由于絕大多數(shù)社交工程攻擊都是出于經(jīng)濟動機,所以通過可信的方法驗證請求應該是任何企業(yè)DNA的一部分,”利沃爾說。
如果人力資源部要求你提供信息,打電話給你信任的人力資源部人員,詢問這是否是合法的要求。如果供應商要求您更改他們的帳戶信息以進行付款,請致電他們并詢問原因。社交工程是最古老的游戲——它是一個騙局。自從人類存在以來,它就已經(jīng)存在了,唯一的區(qū)別是媒介。防止詐騙的唯一方法是信任,但要核實。
除了教育之外,企業(yè)還可以采取幾種技術措施,包括防病毒軟件、防火墻、電子郵件過濾器和多因素身份驗證。
關于企業(yè)網(wǎng)D1net(hfnxjk.com):
國內主流的to B IT門戶,同時在運營國內最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_-信眾智(www.cioall.com)。同時運營19個IT行業(yè)公眾號(微信搜索D1net即可關注)。
版權聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉載需在文章開頭注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責任的權利。
關鍵字:網(wǎng)絡安全
京公網(wǎng)安備 11010502049343號