什么是社交工程?为何2019年此类威胁如此严重?

什么是社交工程?为何2019年此类威胁如此严重?
安德鲁 桑德斯
发布时间: 2019年4月25日

如果您是一位系统管理员,您可能为了保障安全安装一些安全的工具程序,并进行配置以确保可以防御最新的威胁,修复服务器和终端设备,以及在感染病毒后重新镜像系统。这不是一份简单容易的工作,但整个过程的参数信息至少是清晰直接的。

但是,如果您可以完成上述的所有工作,您只是完成了一半的项目。一些高效的网络攻击行为,他们的攻击对象不再是硬件或软件,而是把目光瞄向了人。社交工程的途径有时也非常的简单,最直接的途径是通过电话号码和电子邮箱账号。

社交工程攻击方式大致流程是这样的:首先,攻击者会冒充客服人员通过电话或电子邮件的方式与攻击对象取得联系。这时往往会以密码忘记等理由,同时再编造一个容易让人信服的故事。建立信任关系之后,再以客服的身份将被攻击者的注册邮箱更改为属于攻击者的邮箱地址,再将密码重置的邮件发送到新的地址中取得用户的密码。经过以上几个步骤,攻击者便完全掌握了账号信息。

您对社交工程攻击有什么见解或看法?

社交工程攻击的方式并不需要任何编程的背景和经验,只是执行就可以了。利用VoIP的技术,攻击者可以伪装成容易博得被攻击对象信任的电话号码,这种技术可以被广泛的使用,而不需要任何专业技术背景。因此这种攻击方式,变得越来越普及也就不足为奇了。仅在2017年,有76%的信息安全专家检测到了社交工程攻击的方式通过电话和电子邮件发动,其中电子邮件占多数。而在2018年,这一数据上涨到了83%。

日益增长的社交工程攻击和电子邮件钓鱼活动造成了大量的损失,近年来重大的安全事件,以下是其中几起:

  • Blackrock(贝莱德)
    据《金融时报》(Financial Times)和CNBC的报道,这家全球最大的资产管理公司被一名环保活动人士攻击。这名环保活动人士编造了一个让人信服的假新闻,声称这家企业正转行正为一家环保相关的投资机构,一时间引起舆论哗然。
  • 加密数字货币
    著名数字货币加密钱包以太坊(Ethereum)的用户受到网络钓鱼攻击,用户接收到伪装的错误消息。通过电子邮件发送的消息中,要求用户下载并安装补丁程序。但事实上,封闭的链接只会让钱包软件的软件版本受到损害,而黑客便可以乘机窃取受害人的数字货币。
  • 情报局
    早在2015年,一名年轻的黑客通过给Verizon打电话,获取到了时任美国中央情报局CIA局长约翰·布伦南(John Brennan)的AOL电子邮件账号信息。通过电子邮件,掌握了很多敏感信息,包括了这位局长安全许可申请的详细信息。甚至该名黑客还在电话中与布伦南(Brennan)进行了简短的几句交谈。而发现并抓捕这名黑客竟然耗时长达2年。

以上事件表明,即便是简单的工具和手法也可能轻易的造成非常严重的影响或破坏。黑客可能为了赚取金钱,愚弄媒体,甚至从世界上某个权威人士手中窃取秘密,而实现手段不过是电话或电子邮件地址。

保护您的信息,防御社交工程攻击

有两种方式可以保护您防御社交工程的攻击。

首先,掌握一定的技术。一种被称为DMARC
(基于域的消息验证机制、报告和一致性,英文全称Domain-based Message Authentication,Reporting & Conformance)的解决方案被设计成可以检测并隔离可疑的电子邮件,这意味着会对收件人接收到的邮件的真实发送地址进行检测。尽管该技术可以通过确认发件人的邮件保护常见品牌的用户不受到损害,但是实际使用率目前还偏低,整个行业普及率不及50%。

除了技术手段之外,还可以采用安全意识培训的方法,进行必要的安全知识培训。网络安全管理员可以进行安全培训,训练他们的员工如何识别并鉴别哪些邮件是伪装的垃圾邮件。目的是实现准确辨别出真正的邮件和伪造的之间的区别。网络安全培训有一定的效果,在经过培训之后,被电子邮件网络钓鱼攻击风险下降了75%,但是问题在于网络中只要一个人犯错,就会让攻击行为实现。

最后,减少损失和危险事件的最好方式是,提前做好准备防御网络钓鱼活动和社交工程攻击。虽然一个顽固的攻击者会利用假的电子邮件或电话,欺骗员工以获得攻击的途径,但是作为一名优秀的管理人员需要及时发现账号的异常情况,并在发生情况时及时接管账号。也许攻击者可以窃取到用户的账号信息,但是造成的损失或危害还是可以控制在一定的范围内。

关于作者

安德鲁 桑德斯
安德鲁 桑德斯

安德鲁是一位技术、信息安全、电信和相关产业的编辑