黑客社会工程学:这些狡猾骗局,你必须知道
社会工程学攻击,利用了人类共有的特点,如本能反应、好奇心、信任、贪便宜等,顺从你的意愿,满足你的欲望,从而实施网络攻击或物理场所攻击,以获取利益。
黑客眼里,人是最大的漏洞之一
社交是人类的基本需求——我们喜欢互相帮助,也倾向于相信其他人是真诚的。然而,原本出于善意的行为,有时会被有心人利用,成为网络安全中的薄弱环节。
很多时候,黑客攻击的入口并非技术漏洞,而是社会工程。社会工程手段就像古老的“行骗术”一样由来已久,同时针对数字时代进行了推陈出新。
一次社会工程学攻击流程
典型社会工程学攻击,你知道哪几种?
最广泛、最有效的当属钓鱼邮件:
· 普通网络钓鱼:向已知邮箱发送钓鱼邮件,无特定目标,诱使点击恶意链接,进而入侵系统。
· 鱼叉式钓鱼攻击:专门针对目标受害者,冒充熟人或权威人员,盗取机密信息和钱财。
· 水坑式钓鱼攻击:对一类人、组织机构或行业进行研究,设置陷阱,等待“上钩”。例如:寻找攻击目标经常访问的网站,攻破网站并植入攻击代码,等待他们再次访问。
除此之外,还有:
社会工程学攻击实例解析
安博通安全服务团队,在多年实战攻防经历中,积累了丰富的反社会工程学攻击的经验,今天就为你分享6个真实案例。
案例1:钓鱼邮件攻击
攻击描述:搭建钓鱼攻击服务器,伪造企业HR身份,向全体员工发送钓鱼邮件,标题为“薪资调整”。合理的身份、敏感的内容,能够大大增加邮件点开率;员工点开邮件的同时,钓鱼服务器会记录下点击时间、点击IP地址等信息。
攻击结果:邮件点开率超过20%,员工安全意识一般;管理员反应时间在30-60分钟之间,在相对较短时间内进行了响应。
安博通安全建议:定期开展相关演练或培训,提升员工安全意识。
案例2:电话社工攻击
攻击描述:冒充客户给工作人员打电话,谎称有业务需求,套取领导个人信息。
攻击结果:获取领导手机号的成功率为25%,未获取其他信息,工作人员具备一定的安全意识。
案例3:互联网IM信息收集
攻击描述:针对IM聊天软件某Q、某抖进行信息收集,攻击者会利用泄露到互联网的敏感信息危害企业,如网络拓扑图、电话、邮箱、项目文档、供应链等信息。
攻击结果:加入工作群的成功率为33%,内有大量敏感文件。职工手机号关联社交平台账号,在发布内容中可见敏感信息。
案例4:物理场所社工-进入办公大楼
攻击描述:伪装成技术人员,进入办公大楼,检验访问流程是否有人员登记、身份确认等环节。
攻击结果:仅简单核实到访目的,未留存任何访客信息,未进行身份确认,访问流程较宽松。
场景5:物理场所社工-获取敏感信息
攻击描述:进入办公场所后,检验能否进入重要区域,并获取敏感信息。
攻击结果:办公场所的垃圾桶内,未发现带有敏感信息的文件。但有办公室无人未上锁,可以自由进出,成功获取敏感信息。
安博通安全建议:1、针对关键岗位,进一步强化安全意识。2、完善出入访问流程。3、制定核查访问人员身份的制度。4、办公室无人需锁门。
场景6:物理场所社工-进入核心机房
攻击描述:冒充公司内部员工,谎称要对机房和主机进行安全检查。
攻击结果:未进行身份验证与核查,即可进入核心机房,可操作办公人员电脑。机房未锁门,没有出入记录和电子门禁,管理较为宽松。
安博通安全建议:加强核心机房建设及管理,强化机房管理人员的防范意识。
安博通安全服务团队,成员中不乏0day漏洞的首发者和贡献者,在CNVD国家信息安全漏洞共享平台及各大SRC平台获得漏洞挖掘相关证书。
以实战攻防为核心,汇聚强大安全力量。在防范社会工程学攻击、国家级攻防演练实战、大型活动应急响应任务中,安博通安全服务团队持续为你保驾护航,守护网络空间的安全稳定。